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(57) ce terminal comprend un module terminal (1) et un 
dispositif personnel de securite (31). Le terminal (1) est 
adapts pour recevoir des requetes d'une application (Fap) 
impiantee sur une unite electronique sous la forme de re- 
quetes de haut niveau independantes du module (1 ) et dudit 
dispositif personnel de securite (31 ). 

L'un au moins du module terminal (1 ) et du dispositif per- 
sonnel de securite (31) comprend une memoire reprogram- 
mable de stockage et des moyens d'execution d'un logiciel 
filtre (F) traduisant les requetes de haut niveau en sequen- 
ces d'echange de donnees entre le module terminal (1) et 
I'utilisateur via et en sequences de commandes eiementai- 
res executables par le dispositif personnel de securite, ainsi 
que des moyens de protection dudit logiciel filtre (F, 62), 
pour emp§chertoute modification dudit logiciei par une per- 
sonne non autorisee. Le logiciel filtre comprend des moyens 
^identification et / ou d'authentification de I'origine des re- 
quetes emises par ladite application (Fap) impiantee dans 
ladite unite. 



(«r PC l/au S*p) 
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La presente invention concerne un terminal ct un systeme pour la 
mise en oeuvre de transactions electroniques securisees. 

Les rcseaux publics de transmission de donnees numeriques, tels 
que le reseau Internet, connaissent un developpement considerable: 
Cependant, Tun des freins qui limitent actuellement la mise en ceuvre de 
transactions electroniques securisees sur ce type de reseau reside dans 
l'insuffisance des mecanismes de securite associes a de telles transactions, 
insuffisance qui se traduit par un manque de confiance des utilisateurs et 
operateurs de reseaux. 

Au sens de la presente demande : 

- une transaction electronique designe un echange d'informations, 
via un reseau public de transmission de donnees numeriques ou de 
telecommunications, soit entre deux ou plusieurs utilisateurs, soit entre un 
utilisateur et un fournisseur de services, 

- une fonction est un traitement effectue dans 1'objectif de rendre un 
service a un utilisateur, 

- une application designe un ensemble coherent de services et de 
fonctions, 

- Texpression logiciel d f application designe le ou les logiciels 
necessaires pour mettre en oeuvre les fonctions relatives a une application 
donnee, 

- une transaction securisee est une transaction pour laquelle 
ccrtaincs mesures de securite sont prises, a savoir Tauthentification des 
entites participant a la transaction, Tintegrite, la confidentialitc, 
Tauthenticite, et eventuellement la non repudiation des echanges et 
operations effectuecs dans le cadre de la transaction. 

De nombreuses applications necessitent que les transactions 
electroniqucs mises en oeuvre soicnt securisees. II s'agit par exemple du 
controle d*acces a des ressources informatiques ou similaires, de la banque 
a domicile (consultation, mouvements de comptes bancaires, etc... par 
l'intermediaire du reseau telephonique ou d'Internet), du commerce 
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electronique (achat de biens ou services par Tintermediaire d'un reseau 
public), du courrier electronique, du porte-monnaie electronique, etc., 

Ces applications, ainsi que d'autres, necessitant des transactions 
securisees sont bien connues des specialistes de la technique et ne sont pas 
5 decrites ici en details. 

Suivant leur nature, la securisation de ces applications necessite la 
rnise en oeuvre d'un ou plusieurs services de securite tels que : 

- Tauthentification,. qui permet de garantir Tidentite d'une entite 
(une personne ou un systeme) ; 

10 - le controle d'acces, qui confere une protection contre Tutilisation ou 

la manipulation non autorisee de ressources ; 

- la confidentiality, qui interdit la divulgation de donnees a des 
entites non autorisees ; 

- lintegrite de donnees, qui assure que des donnees n'ont pas ete 
15 modifiees, supprimees ou substitutes sans autorisation ; 

- la non repudiation, qui assure qu'un participant a un echange de 
donnees ne pourra pas ulterieurement nier l'existence de cet echange. 

La combinaison de deux techniques existantes permet d'envisager la 
mise en ceuvre de ces services de securite, oflxant ainsi un niveau de 
20 securite suffisant pour effectuer des transactions electroniques. 
II s'agit de :. 

- la cryptographie a cle publique et cle privee, car elle permet de 
garantir la non repudiation et facilite la gestion des cles ; 

- la carte a circuit mtegre, ou a micro-circuit, car ellc est peu 
25 couteuse, facile a utiliser et sure grace a des microproccsscurs specifiques 

dotes de protections materielles et logicielles permettant d f interdire l'acces 

en lecture et en ecriture a leurs memoires. 

Los cartes a circuit integre offrent les services suivants : 
* Tauthentification du porteur ou utilisateur de la carte : cette 
30 operation permet d'authentifier le porteur a Taide d f un code confidentiel et 

a la carte d'accepter par la suite la mise en oeuvre d^perations telles que 

I'execution d'algorithmes, la lecture de cles secretes, la lecture et/ou 
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l'ccriture de donnees dans la carte, qui peuvent en outre etre soumises a 
d'autres conditions de securite ; 

* la protection des donnees et fonctions stockees sur la carte a circuit 
integre. L'acces a la carte peut etre soumis a une authentification prealable 
de l'entite electronique demandant a y acceder. Cette authentification 
externe se fait generalement en mode challengc/reponse. Dans ce cas, 
l'entite dispose d'un parametre secret, ci-aprcs appele egalement secret, qui 
lui permet de calculer, en fonction d'un challenge emis par la carte, une 
reponse qui prouvera a la carte qu'elle est en possession du secret ; 

*■ execution d'algorithmes cryptographiques utilisant un parametre 
secret memorise dans la carte (chiffrement, authentification de message, 
signature) ; 

* authentification interne. Ce service permet a une application 
d'authentifier la carte. Ce service est l'inverse d'une authentification 
externe. La carte genere une reponse en fonction d'un challenge regu et 
d*un secret stocke dans la carte. 

Les services offerts par la carte a circuit integre sont mis en oeuvre 
sur reception de commandes dites elementaires, l'execution de la 
commande provoquant l'envoi de reponses elementaires. Ces commandes 
elementaires concernent, par exemple, des calculs cryptographiques, la 
lecture ou l'ecriture de donnees secretes ou non, des interventions de 
l'utilisateur (saisie de son code confidentiel personnel PIN, validation d'une 
transaction apres signature), les retours d'information vers l'utilisateur 
(affichage des messages a signer, par exemple). 

Certaines cartes offrent la possibility de verifier l'integrite, Torigine, 
voire la confidentiality des commandes envoyees a la carte. Ces services 
reposent sur des techniques d'authentification et de chiffrement des 
commandes. 

L'utilisation qui est faite actuellement des cartes a circuit integre (ou 
cartes a micro-circuit) offre un degre tres eleve de securite car les 
transactions sont essentiellement mises en oeuvre sur des reseaux prives et 
des terminaux (distributeurs automatiques de billets, terminaux points de 
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vente par exemple) qui sont sous le controle d'une entite assurant la 
securite de l'enscmble du systeme. 

Dans de telles applications, les utilisateurs ou d'eventuels fraudeurs 
n'ont pas acces au logiciel d'application, ni aux mecanismes de securite 
5 materiels et logiciels dont sont dotes les terminaux. 

Par contre, la mise en oeuvre de transactions securisees avec des 
cartes a circuit integre sur un reseau public suppose que les utilisateurs 
aient a leur disposition un module terminal lecteur de carte, etant donne 
que ces cartes a micro-circuit ne sont pas dotecs d'unc source d'energie 
10 electrique propre et que leur mise en oeuvre requiert un lecteur susceptible 
de les alimenter et d'etablir une communication avec 1'utilisateur et/ou des 
moyens electroniques exterieurs. ' ' . 

A Theure actuelle, pour realiser une transaction sur un rcscau 
public, Tutilisateur dispose d'un terminal, qui peut etre un produit dedie, 
15 un ordinateur personnel, ou un ordinate ur personnel couple a une carte a 
circuit integre par un lecteur de carte. 

Dans tous les cas, le systeme de transactions a la disposition de 
1'utilisateur est en general constitue de : 

• un fournisseur de services applicatifs pouvant etre, par exemple, un 
20 navigateur Internet, un logiciel de messagerie, un logiciel de banque a 

domicile ("Home banking"), 

• un fournisseur de services de securite de haut niveau permettant 
l'execution des mecanismes cryptographiques de bas niveau requis par 
Tapplication. 

25 Le fournisseur de, services applicatifs cmet des requetes de services 

de securite do haut niveau pour assurer la securite des transactions mises 
en oeuvre. 

Dans le cas ou l'application est implantee sur l'ordinateur personnel 
de l'utilifiateur, les services cryptographiques auxquels il est fait reference 
30 sont, par exemple, ceux definis par la Societe RSA Laboratories dans son 
standard "PRCS 11 : Cryptographic Token Interface Standard", ou encore 
les services cryptographiques offerts par le systeme d'exploitation Windows 
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NT dc Microsoft, en particulier ceux proposes par l-Interface des 
programmes d'application (API) "Crypto API". 

Lorsque l'utilisateur ne dispose pas de lecteur de carte a circuit 
integre, les services cryptographiques sont realises de maniere logicielle 
uniquement. 

Lorsque Tutilisateur veut ameliorer la securite, il utilise un lecteur 
de carte a circuit integre de type transparent connecte a son ordinateur. Un 
lecteur de carte de type transparent est en fait un boitier d'interface entre 
Tordinateur et la carte a circuit integre qui permet de transmettre des 
commandes elementaires de 1'ordinateur, provenant du fournisseur de 
services cryptographiques, vers la carte, et les rcponses elementaires de la 
carte vers l'ordinateur. Un utilisateur peut, a Taide de ce terminal, 
(constitue de son module terminal - ordinateur + lecteur - couple a sa carte) 
effectuer des transactions electroniques (commerce eleCtronique par 
exemple). 

Bien entendu, l'acces des utilisateurs a un tel terminal engendre des 
risques potentiels du point de vue de la securite. 

Les risques encourus seront d'autant plus grands que les 
applications seront decentralisees. Et vice versa, les applications pourront 
etre d'autant plus decentralisees, que les risques cote terminaux seront 
maitrises. Par exemple, on peut envisager des applications de type porte- 
monnaie, dans lesquelles les transactions (debit de la carte acheteur/credit 
de la carte commer^ant) se feront de carte a carte, sans necessiter une 
consolidation des transactions au niveau d'un serveur central. 

II resulte de ce qui precede, qu'un terminal peut potentiellement 
contenir un ensemble d'information? voire des logiciels, sur la 
confidentiality et l'integrite desqucls repose la securite de Tapplication. 
Commc exemple, on peut citer des cles secretes utilisees pour 
1'authentification du module terminal vis-a-vis de la carte, ou pour lc 
chiffrement de donnees entre un serveur et le module terminal lecteur de 
carte. Or, un fraudeur peut profiter du fait d'avoir a sa disposition un 
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terminal pour analyser son fonctionnement et acceder aux informations et 
logiciels confide ntiels. 

II faut cgalement noter que les applications auxquelles il est fait 
reference ici, telles que le commerce ou le courrier electronique, sont la 
5 plupart du temps mises en oeuvre a travers le reseau Internet. II est bien 
connu des experts qu'un ordinateur personnel ou PC connecte au reseau 
Internet est tres vulnerable aux logiciels de type virus, qui peuvent etre 
installes et executes sur le PC de l'utilisateur sans meme qu'il le sache et 
sans qu'il ait laisse un acces physique a son ordinateur a qui que ce soit. Le 

1 0 cote totalement invisible de ce type de menace represente le reel danger qui 
limite a l'heure actuelle le deploiement des applications transactionnelles 
utilisant Internet. Les memes commentaires peuvent s'appliquer aux 
applications de commerce electroniques envisagees a partir des reseaux 
cables de television en utilisant des decodeurs ou "set-top box" raccordes au 

15 poste de television et comportant un ou deux lecteurs de cartes a puce. 
Les risques au niveau du systeme sont alors les suivants : 

• Attaque sur Tintegrite du fournisseur de services 
cryptographiques et du fournisseur de services applicatifs visant a 
modifier le comportement du module terminal : a titre d'exemple, le 

20 module terminal est modifie de maniere a capturer les informations liees a 
la carte, stocker les informations obtenues pour ensuite les coinmuniquer a 
un faux serveur. Cette attaque peut etre realisee a l'insu de l'utilisateur 
legitime (substitution du module terminal de l'utilisateur ou pret d'un 
module terminal modifie). Cettc attaque peut ensuite se generaliser sous 

25 la forme de la diffusion de modules terminaux contrefaits ; 

• Attaque sur la confidcntialite du fournisseur de services 
cryptographiques, visant a se procurer les cles cryptographiques qu'il 
manipule, lesquelles cles sont par exemple stockees sur le disque dur d'un 
ordinateur. 

30 • Attaque vis-a-vis d f autres cartes, basee sur une capacite a pouvoir 

s^uthentifier vis-a-vis de ces cartes, grace aux secrets decouverts par une 
attaque sur la confide ntialite du fournisseur de services. 
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• Attaque sur l'integrite et la confidentiality des communications 
entre les differentes entites (fournisseurs de services applicatifs, 
fournisseurs de services cryptographiques, lecteur de carte a circuit 
integre, carte a circuit integre, serveur) permettant de rompre la chaine de 

5 confiance etablie entre ces elements . Par exemple: 

1 - dechiffrement des communications entre serveur et 

terminaux ; 

2 - insertion d'un logiciel tiers entre le fournisseur de services 
applicatifs et le fournisseur de services cryptographiques visant a rompre 

10 la chaine de confiance entre ces deux logiciels ou bien substitution du 
logiciel applicatif par un logiciel tiers visant a faire execute r au fournisseur 
de services de securite des requetes de securite dans un but different de 
celui de r application connue de Futilisateur. 

• Attaque sur les serveurs (dans le cas d'une application en mode 
15. connecte) : connexion d'un terminal contrefait a un serveur, emulation 

d'un couple module terminal-carte a circuit integre pour obtenir des 
avantages. 

Ainsi, une attaque sur la chaine de confiance entre le fournisseur de 
services cryptographiques et le fournisseur de services applicatifs, dans le 
20 cadre d'une application requerant la signature d'une transaction 
electronique a Taide d'une carte a circuit integre, est illustree ci-apres. Le 
deroulement de la transaction est le suivant : 

- Etape 1 : verification du code confidentiel personnel (PIN) de 
Tutilisateur, que celui-ci introduit par un clavier associe a son module 

25 terminal, le code introduit etant transmis a la carte pour verification par 
cette dernicre. 

- Etape 2 : authentication du module terminal. Ce dernier envoie 
une commando "demande challenge". (Un challenge est un nombre 
aleatoire ou pseudo-aleatoire). La carte a circuit integre genere le challenge 

30 et le transmet au module terminal. Le module terminal envoic a la carte 
une commande "authentication externe" accompagnee d'une reponse 
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constitute du challenge chiffrc par unc clc dctcnuc par le module terminal. 
La carte a circuit integre verifie alors la reponse recue. 

- Etape 3 : si lea etapes 1 et 2 se sont deroulees de maniere satisfaisante, la 
carte a circuit integre est prete a recevoir et executer la commande 
5 signature, c'est-a-dire une commande de chiffrement, au moyen d'une clc 
secrete stockee dans la carte, du resultat d'une operation de hachage 
realisee sur la transaction saisie par l'utilisateur. Apres ce chiffrement, la 
carte emet, a destination du module terminal, la signature constitute du 
resultat de l'operation de hachage ("hash") ainsi chiffrc. 

10 Si l'integrite du logiciel d'application (fournisseur de services 

applicatifs et son fournisseur de services cryptographiques) n'est pas 
assuree, un fraudeur n'a pas besoin de connaitre les cles et codes secrets 
pour pirater le systeme de transaction : il lui suffit d'implanter dans le 
module terminal, par exemple dans l'ordinateur personnel auquel est 

15 raccorde un lecteur de carte a circuit integre, un logiciel de type virus qui, a 
l'etape 3, detourne les donnees authentiques a signer et envoie a la carte 
des donnees falsifiees. Etant donne que les etapes 1 et 2 se sont deroulees 
de maniere satisfaisante, la carte signera alors les donnees falsifiees sur la 
base du PIN que l'utilisateur a lui-meme introduit et celui-ci croira que la 

20 carte va signer ses propres donnees. 

L'exemple precedant montre la necessite de proteger non seulement 
les informations confide ntielles mises en oeuvre dans le cadre d'une 
transaction, mais aussi Tintegrite de la transaction, c'est-a-dire l'integrite 
du comportement de chaque entite intervenant dans la transaction, ainsi 

25 que l'integrite du comportement d'ensemble du logiciel en veillant a la non 
rupture de la chaine de eonfiance etablie entre les differentes entites! 

Les risques d'attaque mentionnes ci-dessus sont a l'heure actuelle en 
partie couverts par des terminaux - lecteurs dc carte a circuit integre 
integrant des modules de securite (SAM, analogue a une carte a circuit 

30 integre) qui sont utilises notamment dans le cadre des applications porte- 
monnaie. Le lecteur est alors personnalise par un SAM, et attribue a un 
commercant, les cartes lues etant celles des clients. Ce SAM contient des 
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informations secretes et est susceptible d'executer des algorithmes utilisant 
ces informations secretes. Mais, il ne contient pas de moyens permettant 
notamment de piloter les communications avec l'utilisateur, avec la carte a 
circuit integre et/ou avec des moyens electroniques exterieurs, et done la 
securisation de transaction n'est pas assuree. 

II est egalement connu par le document WO 95/04328 un module 
terminal comprenant des moyens d'interface avec l'utilisateur et des 
moyens d'interface avec des moyens electroniques exterieurs (ci-apres 
appeles moyens d'intcrfacc extcrnc), comportant unc interface avec une 
carte a micro-circuit. Le microprocesseur du module terminal comprend des 
moyens de stockage de donnees (ROM, EEPROM, RAM). Les donnees 
stockees en memoire permanente (ROM) comprennent entre autres un 
systemc d'exploitation, des gestionnaires de composants externes pilotant 
les interfaces et peripheriques, et un interpreteur capable d'interpreter des 
modules programmes ecrits dans un langage specifique. Les modules 
programmes sont stockes dans la memoire semi-permanente EEPROM et 
peuvent etre charges en memoire temporaire RAM pour etre executes par 
le microprocesseur lors de Tactivation d'une interface appropriee par 
l'utilisateur. Les modules programmes, correspondant aux applications du 
module terminal, sont telecharges dans la memoire EEPROM du 
microprocesseur ou dans une carte a micro-circuit a partir d'un serveur 
externe. 

Le module terminal du document WO95/04328 peut fonctionner : 

- en mode module terminal autonome, le microprocesseur du module 
terminal executant un module programme stocke dans une memoire 
interne, sans faire appel a une carte a circuit integre ; 

- en mode terminal autonome, dans lequel un module programme 
stocke dans une carte est execute ; 

en mode terminal etendu ou connecte, dans lequel le 
microprocesseur du module terminal ou celui de la carte execute un module 
programme et une communication est etablie via le telephone, un modem 
ou une liaison directe avec un fournisseur de services ou un serveur ; 
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- en mode lecteur de carte a memoire transparent, dans lequel des 
instructions regues par une liaison serie sont transmises directement a la 
carte et vice et versa. 

Le terminal decrit au document WO 95/04328 ne traite pas des 
5 problemes de securite vises par l'invention dans la mesure ou il ne decrit 
pas comment securiser une transaction en garantissant Tintegrite du 
comportement d'ensemble du logiciel executant la transaction. II ne decrit 
notamment pas de moyens permettant ^execution de requetes de haut 
niveau ernises par l'application, ni comment garantir Torigine, Pintegritc et 

10 la confide ntialite de ces moyens. 

La presente invention vise a fournir un terminal pour la mise en 
oeuvre de transactions electroniques- securisees, du type comprenant un 
dispositif personnel de securite tel qu'une carte a circuit in tegre ou autre 
dispositif remplissant les memes fonctions, et un module terminal dote de 

15 moyens d'interface avec le dispositif personnel de securite, tels qu'un 
lecteur de carte a circuit integre, et ofErant de par son architecture logicielle 
et/ou materielle et les mecanismes de securite qu'il comporte, un niveau de 
securite ameliore, compatible avec le fait que le terminal peut etre place 
sous le controle des utilisateurs, (par opposition a des terminaux controles 

20 par des operateurs). 

Un deuxieme objectif de Tinvention est d'assurer ce meme niveau de 
securite tout en permettant Tintegration, en cours d'utilisation, de fonctions 
ou applications nouvelles, ou 1 'evolution des fonctions ou applications 
existantes sans avoir recours a une multitude de modules terminaux 

25 differents ou au changement des modules terminaux lors des evolutions. 

A cet effet, Tinvention a pour objct un terminal pour la mise en 
oeuvre, par un utilisateur, de transactions electroniques securisees en 
liaison avec au moins une application implantee sur une unite 
electronique, ledit terminal comprenant : 

30 - un module terminal comportant au moins : 
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• des premiers moyens cTinterface avec ladite application 
pour en recevoir des requetes relatives auxdites 
transactions, 

• des deuxiemes moyens d'interface avec ledit utilisateur, 

5 • des troisiemes moyens d'interface avec un dispositif 

personnel de securite, 

• des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits 
moyens d'interface, et 

10 - un dispositif personnel de securite comportant au moins des 

deuxiemes moyens de traitement de donnees securisees comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 
caracterise en ce que : 

15 - ledit terminal est adapte pour recevoir lesdites requetes de ladite 

application implantee sur ladite unite electronique sous la forme de 
requetes de haut niveau independantes dudit dispositif personnel de 
securite, 

- Tun au moins dudit module terminal et dudit dispositif personnel 
20 de securite comprend : 

• au moins une memoire reprogrammable de stockage d'au 
moins un logiciel filtre, traduisant lesdites requetes de 
haut niveau en sequences d'echange de donnees entre ledit 
module terminal et ledit utilisateur via lesdits seconds 

25 moyens d'interface, executables par lesdits premiers 

moyens logiciels desdits premiers moyens de traitement de 
donnees, et en sequences de commandes elementaires 
executables par lesdits deuxiemes moyens de traitement 
de donnees, et 

30 ♦ des moyens de protection dudit logiciel filtre pour 

empecher toute lecture et/ou modification dudit logiciel par 
une personne non autorisee, et 
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- Tun au moins desdits premiers et deuxiemes moyens de traitement 
de donnees comprend un dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre. 

L'invention definie ci-dessus permet d'atteindre les objectifs de 
5 securite requis par la mise en oeuvre de transactions electroniques grace 
au fait qu'elle decrit un filtre ou pare-feu (" firewall ") entrc le monde 
exterieur, c J est-a-dire les applications elles-memes, et les moyens de 
securite et peripheriques qu il gere, au moyen d'une interface logique 
permettant la definition du format des requetes de haut niveau emisespar 
10 les applications et d'un logiciel de traduction assurant le traitement de ces 
requetes. 

De preference, le terminal suivant Tinvention comprend une ou 
plusieurs des caracteristiques suivantes, eventuellement combinees : 

- ledit dispositif d'execution du logiciel filtre comprend des premiers 
15 moyens d'identification et/ou d f authentification de ladite application 

implantee dans ladite unite ou de Torigine desdites requetes emises par 
ladite application ; 

- ledit dispositif de traitement de donnees pour l'execution dudit 
logiciel filtre comprend des moyens de verification de Tintegrite des 

20 donnees regue de ladite application ; 

- ledit dispositif de traitement de donnees pour Texecution dudit 
logiciel filtre comprend des moyens centralises de controle des conditions 
d'utilisation des services du dispositif personnel de securite, en fonction de 
ladite application et/ou dudit utilisateur ; 

25 - ledit dispositif de traitement de donnees pour l'execution dudit 

logiciel filtre comprend : 

• des moyens pour commander le chargement securise dudit 
logiciel filtre dans ladite memoire programmable, via Tun 
desdits premiers ou troisiemes moyens d'interface, a partir 
30 d'une entite exterieure audit module, et 
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• des premiers moyens de controle d'acces pour n'autoriser 
ledit chargement dudit logiciel filtre qu'en reponse a au 
moins une condition predefinie ; 

- le terminal comprend des deuxiemes moyens d'authentification 
5 desdits premiers moyens de traitement de donnees par lesdits deuxiemes 

moyens de traitement de donnees ; 

- le terminal comprend des troisiemes moyens d'authentification 
desdits deuxiemes moyens de traitement de donnees par lesdits premiers 
moyens de traitement de donnees ; 

10 - le terminal comprend un premier canal de communication entre 

lesdits premiers et deuxiemes moyens de traitement de donnees et des 
premiers moyens de securisation dudit premier canal de communication ; 

- le terminal comprend des quatrieme moyens d'authentification 
dudit module terminal par ledit utilisateur, independamment de ladite 

15 carte ; 

- lesdits quatriemes moyens d'authentification comprennent des 
moyens de calcul, par lesdits premiers moyens de traitement de donnees, et 
de presentation audit utilisateur, via lesdits deuxieme moyens d'intertface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d ! au moiris 

20 un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees ; 

- le terminal comprend des cinquiemes moyens d'authentification 
conjointe dudit module terminal et de ladite carte par ledit utilisateur ; 

- lesdits cinquiemes moyens d'authentification comprennent des 
25 moyens de calcul, par ledit dispositif d'execution dudit logiciel, et de 

presentation audit utilisateur, via lesdits deuxiemes moyens d'interface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un deuxieme et un troisieme parametres secrets stockes respectivement 
dans lesdits premiers et deuxiemes moyens de traitement de donnees. 
30 Selon une premiere forme de realisation de l'invention, le module 

terminal est constitue par un ordinateur personnel et ladite memoire 
programmable est constitute par le disque dudit ordinateur, ledit logiciel 
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filtre est execute sur l'ordinateur personnel ou bien dans un deuxieme 

mode d'execution, ladite memoire programmable est implantee sur un 

serveur securise relie a Tordinateur personnel, la partie du logiciel filtre 

devant etre protege etant executee sur ledit serveur securise. 

5 Selon uhe deuxieme forme de realisation de Tin vention, le module 

terminal est un dispositif, tel-qu'un lecteur dedie de carte a circuit integre, 
auquel cas ledit dispositif personnel de securite est une carte a circuit 
integre, ou un ordinateur personnel. Ce mode de realisation se differencie 
du precedent par le fait que ladite memoire programmable est integree 
10 dans un microprocesseur securise, ledit logiciel filtre etant execute dans 
ledit microprocesseur securise. Le module terminal dedie peut 
eventuellement etre portable. 

Selon les modes d'execution de cette deuxieme forme de realisation 
de Tinvention, la memoire programmable pour le chargement et le stqckage 
15 du logiciel filtre peut etre disposee dans le dispositif personnel de securite 
ou dans le module terminal. 
Dans ce dernier cas : 

- le module terminal peut comporter un seul microprocesseur pour 
l'execution du logiciel filtre et le pilotage des interfaces, ou bien deux 

20 microprocesseurs remplissant respectivement Tune et l'autre de ces deux 
fonctions. 

- de preference ledit logiciel filtre comprend au moins un parametre 
secret et lesdits deuxiemes moyens de traitement de donnees comprennent 
des seconds moyens de controle d'acces conditionnels pour n'autoriser 

25 l'execution desdits calculs cryptographiques, en reponse a des commandes 
elementaires generees par ledit logiciel filtre, que si au moins une seconde 
condition predefinie, fonction dudit parametre secret est remplie 

Selon d'autres caracteristiques de Tinvention, lorsque le module 
terminal comporte deux microprocessevirs pour l'execution du logiciel filtre 

30 et le pilotage des interfaces : 

- le terminal comprend un deuxieme canal de communication entre 
lesdits premiers moyens logiciels de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur et des deuxiemes moyens de securisation dudit 
deuxieme canal de communication ; 

35 - lesdits deuxiemes moyens de securisation comprennent des moyens 

de chiffrement et dechiffrement, par lesdits premiers moyens logiciels de 
pilotage des moyens d'interface et ledit deuxieme microprocesseur, des 
donnees transmises sur ledit deuxieme canal de communication, sur la 
base d'au moins un cinquieme parametre secret memorise dans lesdits 

40 moyens de stockage ; 

-lesdits deuxiemes moyens de securisation comprennent des 
premiers moyens physiques de protection dudit deuxieme canal de 
communication contre les intrusions. 

Differents modes de realisation de Tinvention seront maintenant 

45 decrits en se referant aux dessins annexes, en particulier des modes de 
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realisation dans lesquels le logiciel filtre est charge et execute dans le 
terminal de maniere a garantir a la fois son origine, sa confidentialite et 
son integrite, ce logiciel pouvant aussi authentifier Torigine des requetes 
qui lui sont envoyees, si la confiance dans les interfaces avec Tutilisateur, 
c'est-a-dire Tecran et le clavier, ne peut etre garantie. 

- la Figure 1 est un schema illustrant Tarchitecture fonctionnelle 
d'un systeme pour la mise en ceuvre de transactions securisees au moyen 
d'un terminal selon Tinvention ; 

- la Figure 2A presente une premiere forme de realisation de 
Tinvention ou le terminal est un ordinateur personnel couple a une carte a 
circuit integre par un lecteur, Tapplication pouvant etre elle meme 
implantee sur Tordinateur personnel ou sur un serveur distant. 

- la Figure 2B decrit l'architecture fonctionnelle d'une variante 
d'execution de la premiere forme de realisation de Tinvention, dans laquelle 
Tordinateur personnel servant de terminal est en liaison avec un serveur 
de securite sur lequel est implante le logiciel filtre ; 

- la Figure 3 presente un systeme de transaction mis en oeuvre grace 
a un terminal selon une deuxieme forme de realisation de Tinvention, qui 
peut etre un produit dedie re lie en tant que peripherique a un ordinateur 
personnel ou directement a un serveur ou bien construit autour d'un 
ordinateur personnel ; 

- la Figure 4A est un schema bloc de Tarchitecture materielle des 
circuits electroniques d'un premier mode d'execution du terminal de la 
figure 3 ; 

- la Figure 4B est un schema fonctionnel illustrant une premiere 
configuration d'architecture logicielle du terminal de la figure 4A ; 

- la Figure 4C est un schema fonctionnel similaire a celui de la figure 
4B presentant une seconde configuration d'architecture logicielle du 
terminal de la figure 4A ; 

- la Figure 5 est un schema bloc de Tarchitecture materielle des 

circuits electroniques d'un deuxieme mode d'execution du terminal 
autonorne de la figure 3 ; 

- la Figure 6 est un schema bloc de Tarchitecture materielle des 
circuits electroniques d ! un troisieme mode d'execution du terminal 
autonorne de la figure 3 ; 

- la Figure 7 est un schema illustrant Tarchitecture logicielle 
conventionnelle d'une carte a micro-circuit ; 

- la Figure 8A est un schema illustrant Tarchitecture logicielle d'un 
systeme de transaction comprenant le terminal de la figure 4A ; 

- la Figure 8B est un schema illustrant Tarchitecture logicielle d'un 
systeme de transaction comprenant le terminal de la figure 6 ; 
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- la Figure 9 est un diagramme illustrant la mise en oeuvre d'une 
application de commerce electronique au moyen d'un systeme selon 
invention ; et 

- la Figure 10 est un organigramme illustrant le processus de 
telechargement d'un programme dans une memoire reprogrammable du 
module terminal de la figure 4A ou 5, ou d f une carte a micro-circuit 
connectee a celui-ci ; 

En .se referant a la figure 1, un systeme de mise en oeuvre de 
transactions securisees comprend un module terminal 1 de lecture d'une 
carte a circuit integre 31 ou equivalent. Le module terminal 1 comprend un 
filtre F constitue d'un module logiciel traitant des requetes de haut niveau 
emises par des fournisseurs de services applicatifs FAp externes au module 
terminal 1 au moyen d'une interface logique F-API, et des interfaces 
utilisateur telles qu'un ecran d ! affichage 4 et un clavier 5 permettant la 
lecture et l'introduction de donnees par un utilisateur. II comprend 
egalement un Iecteur ou interface de communication 6 avec une carte a 
micro-circuit ou tout dispositif de securite equivalent personnel a 
Tutilisateur, du type jeton (token), " JavaRing " (produit de la societe SUN), 
" iButton " (produit de la societe Dallas Semiconductor Corporation), jeton 
logiciel (soft token), ainsi que des interfaces de communication avec au 
moins un fournisseur de services applicatifs FAp qui peut, par exeniple, 
etre implante sur un ordinateur personnel PC et/ou sur un serveur Sap , 
1 echange de donnees s'effectuant alors via un reseau R de transmissions de 
donnccs ou de telecommunications. 

Le module terminal 1 peut etre un terminal dedie ou etre integre 
dans un ordinateur personnel de type PC, ou bien dans un ordinateur- 
terminal NC dedie aux applications en reseau (Network Computer) ou 
encore dans un decodeur de reseau de television cable (Set Top Box). 

Le module terminal 1 peut eventuellement etre utilise en mode 
autonome, par exemple pour lire des informations, telles que le contenu 
d'un porte-monnaie electronique, contenues dans une memoire de la carte 
31. 
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Pour la misc en oeuvre de transactions securisees, le module 
terminal 1 peut etre utilise en mode connecte avec un serveur Sap ou en 
mode ribn connecte, l'application FAp etant alors executee localement, par 
exemple sur l'ordinateur personnel PC : Tel est le cas, par exemple, 
5 lorsqu'un utilisateur doit signer un courrier electroniqxie ou des 
transactions qui seront envoyees a un destinataire. Une telle operation 
n'implique pas de connexion avec un serveur applicatif au moment ou la 
carte 31 est utilisee. 

En mode connecte, comme represents a la figure 3 dans le cas d'un 

10 module terminal 1 dedie, celui-ci peut etre connecte au serveur Sap sur 
lequel est implante l'application FAp par Tintermediaire de l'ordinateur PC 
et d'un reseau R tel qu'Internet, ou par 1'intermediaire du reseau 
telephonique R via un modem MO ou une liaison DTMF avec un combine 
telephonique CT. Certaines transactions, telles que le rechargement d'un 

15 porte-monnaie electro nique dans la carte 31, peuvent necessiter un 
echange bidirectionnel de donnees avec le serveur Sap et sont, par 
consequent, plus ergonomiques en mode connecte. 

La mise en oeuvre d'une transaction securisee avec un module 
terminal 1 et une carte 31 implique que des requetes logicielles de haut 

20 niveau (par exemple signature, authentication , etc.) soient transmises 
du programme applicatif implante par exemple dans le serveur Sap (mode 
connecte) ou dans l'ordinateur personnel PC ou NC a la disposition de 
Tutilisateur (mode non connecte, par exemple signature de courrier 
electronique), au filtre F assurant le pilotage des moyens de secunte. Ce 

25 filtre F effectue le traitement de ces requetes au moyen d'un logiciel do 
traduction, s assurant ainsi que l'application ou tout autre logiciel de type 
virus ne peuvent avoir un acces direct aux fonctions cryptographiques de la 
carte a ch'cuit integre 31. 

Le filtre F repond aux objectifs de securite recherches dans la 

30 mesure ou le logiciel de traduction qu'il comporte verifie Tidentitc de 
Tapplication emettant les requetes de services ( ou directement Torigine des 
requetes) et est implante de maniere a garantir l'integrite et la 
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confidentialite des operations et donnees elementaires mises en oeuvre 
pour repondre aux requetes de services. 

Un logiciel de traduction est un logiciel configure pour un type de 
carte a micro-circuit et traduit des requetes de haut niveau re?ues des 
5 logiciels d'application en sequences de commandes elementaires 
executable^ par les cartes a micro-circuit et en sequences d'echanges de 
donnees avec 1'utilisateur. 

Les requetes de haut niveau sont une liste de commandes utilisees 
par les programmes applicatifs pour faire appel aux services de securite 

10 necessaires pour identifier et authentifier la personne realisant la 
transaction et garantir Torigine, Tintegrite et eventuellement la non- 
repudiation de la transaction. Une requete de haut niveau provenant d'une 
application (se trouvant sur un serveur ou sur I'ordinateur.personnel PC ou 
NC) est caracterisee par le fait que : 

15 - elle est independante des moyens de base { (moyens 

cryptographiques par exemple) mis en oeuvre pour satisfaire a sa demande. 
Ainsi, une requete de haut niveau peut s'appuyer sur des moyens purement 
logiciels. Reciproquement, plusieurs applications peuvent utiliser le meme 
fournisseur de services de securite, faisant alors appel a la memo interface 

20 logique F-API definissant ces requetes. 

- le traitement de la requete permet de lier la transaction de maniere 
certainc a Tutilisateur effectuant la transaction a Taide d f au moins un 
parametre secret, fixe ou variable, fourni par la carte a circuit integre de 
1'utilisateur. 

25 - elle comporte eventuellement une information ou des informations 

permettant au logiciel filtre F de verifier son origine et son integrite. 
Uauthentification peut se faire a Taide d'un code de type "Message 
Authentication Code ou MAC " ou bien de type " signature electronique " 
associe a la requete. 

30 - dans le cas ou la transaction nest pas saisic par 1'utilisateur sur le 

module terminal lui-meme, la requete contient eventuellement 
Tinformation necessaire pour permettre a Tutilisateur de verifier, s'il le 
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souhaite et si le module terminal supporte cette option, les donnees 
essentielles de la transaction. 

L'interface logique F-API permettant 1'echange des requetes de 
securite de haut niveau entre les applications et le logiciel de traduction du 
5 filtre F peut etre standardisee de maniere a etre commune a differents 
programmes applicatifs. Ainsi, la requete de type " Signature " peut etre 
utilisee par une messagerie electronique ou par un logiciel d'achat. II est 
ainsi possible de changer Implication tout en conservant le fournisseur de 
services de securite ou reciproquement de remplacer le fournisseur de 

10 services de securite sans modifier l'application. 

Afin de garantir 1'integrite de la chaine de confiance eritre 
l'application et la carte, le logiciel filtre F de traduction identifie, voire 
authentifie l'origine et 1'integrite des requetes qu'il regoit. Differentes 
methodes peuvent etre envisagees pour identifier l'application emettant leg 

15 requetes ; 

- un code ^identification peut etre integre dans la requete elle- 
meme puis verifie par le logiciel filtre a partir des informations quil 
contient ou qui peuvent etre stockees dans la carte a circuit integre ; 

- le meme but peut etre atteint en comparant le resultat d'une 
20 operation de hachage execute par le logiciel filtre sur le logiciel applicatif 

emettant la requete avec un resultat prealablement stocke dans la carte 
par exemple. Cette derniere solution est particulierement adaptee au cas 
ou Tapplication est implantee sur le PC de l'utilisateur ; 

- l'authentification peut egalement etre realisee en associant a la 
25 requete un code de type " MAC " calcule a partir du contenu de la requete 

et dune cle secrete partagee entre Tapplication et le logiciel filtre. Un 
principe equival ;t peut etre utilise avec une signature de la requete 
calculee avec les memos informations et une cle privee connue de 
Tapplication, la signature etant verifiee avec la cle publique correspondante 
30 connue du logiciel filtre. 

. La figure 2A decrit une premiere forme de realisation pour laquelle 
le module terminal 1 est un ordinateur personnel PC 102, la liaison avec la 
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carte a circuit integre 31 s effectuant au moyen dun lecteur 6 connecte ou 
integre a Tordinateur PC 102. L'ordinateur personnel 102 coxnprend des 
interfaces d'entree/sortie 102a avec le lecteur 6 et le serveur Sap. Suivant 
la nature du lecteur connecte au PC, les elements d' interface avec 
5 Tutilisateur peuvent etre.le clavier et Tecran du PC lui-meme, ou bien un 
clavier et/ou uri afficheur de type LCD par exemple implante sur le lecteur. 
Dans ce mode de realisation, le filtre F est implante et execute sur 
Tordinateur PC 102. Le filtre F, et done le logiciel de traduction quil 
coiitient, peut alors etre stocke sur le disque dur HD 102b de Tordinateur 

10 personnel 102. Pour etre execute par Tunite de calcul ou microprocesseur 
102c du PC, le logiciel filtre est ensuite charge dans la memoire vive RAM 
102d de Tordinateur personnel 102. 

Le disque dur d'un ordinateur PC etant difficile a proteger, le logiciel 
filtre F, ou tout au moins la partie sensible de ce logiciel, peut etre chiffre. 

15 Pour cela il peut etre decompose en au moins 2 modules : un module de 
chargement/dechiffrement Fed et un deuxieme module correspondant au 
logiciel filtre lui-meme chiffre, Fchi. Le premier module permet le 
chargement du deuxieme module en memoire RAM, son dechiffrement, 
puis le lancement de son execution. En se referant a la Figure 2A, le 

20 module logiciel dechiffre et charge en RAM est nomme Fdec. 

^utilisation d*un langage de programmation tel que Java, par des 
mecanismes de securite intrinseques au langage lui-meme, permet de 
renforcer la protection du logiciel 

Une autre methode de verification de Tintegrite du logiciel filtre est 

25 de faire signer le deuxieme module par une autorite garante du contenu du 
logiciel filtre au moyen d'une cle privee conservec secrete par cette autorite. 
Le premier module de chargement effectue alors, simultanement a 
Toperation de dechiffrement, une operation de hachage sur le deuxieme 
module et verifie la signature de ce module au moyen de la cle publique 

30 associee a la cle privee de Tautorite. 

L'ensemble des operations decrites dans les paragraphes precedents 
implique Tutilisation de cles sur lesquelles reposent la securite de 
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1' application. Ces cles peuvent etre cachees dans le module de chargement, 
stockees dans le lecteur 6, ou bien stockees dans la carte a circuit integre 
31 elle-meme. Un autre mode de realisation possible consiste a implanter 
le module de dechiffrement et de verification d'integrite dans le lecteur 6. 

5 L'objet de l'invention est de s'assurer qu'un pirate ne puisse pas 

utiliser la carte a circuit integre d 'un utilisateur a son insu, par exemple en 
modifiant le logiciel filtre pilotant la carte ou le logiciel application, ou bien 
en implantant un logiciel virus qui court-circuiterait l'application ou le 
logiciel filtre mis en place. Le mode de realisation decrit precede mment et 

10 ses variantes repondent a ces risques, en permettant la verification: 

- de l'integrite du logiciel filtre et 

- de l'origine et de l'integrite des commandes envoyees a la carte a 
travers lc lecteur 6, en les authentifiant a l'aide d'un code de type MAC par 
exemple. La verification du MAC peut etre effectuee par le lecteur 6 ou la 

15 carte 31. Une protection equivalence pourrait etre obtenue en chiffrant le 
dialogue entre le logiciel filtre et le lecteur 6. Un logiciel virus cherchant a 
court-circuiter le logiciel filtre enverrait done des commandes non 
authentifiees ou incorrectement chiffrees au lecteur 6 ou a la carte 31 ; en 
consequence ces commandes seraient rejetees par le lecteur ou la carte, 

20 empechant lc virus d'arriver a ses fins. Afin qu'un fraudeur ne puisse 
determiner les cles utilisees sur un terminal en analysant le 
fonctionnemont d'un autre terminal les cles devront otro diversifiees. 

Les mecanismes de chiffrement et de signature qui peuvent etre 
envisages pour repondre au besoin de protection du logiciel filtre sont bien 

25 connus des hommes de l'art et reposent sur les techniques 
cryptographiques cxistantes exposees, par exemple, dans l'ouvrage de 
Bruce Schneier intitule "Applied Cryptography, Protocols, Algorithms, and 
Source Code in C" publie chez John Wiley and Sons, Inc., 1994, et qui ne 
seront done pas decrits en detail ici. 

30 L'implantation du logiciel filtre dans un ordinateur personnel PC ne 

permet pas de garantir le meme degre de securite qu'une implantation 
dans un terminal dedie pouvant offrir des mecanismes de securite 
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materiels supplementaires comme decrit dans les autres formes de 
realisation presentees ulterieurement, ces mecanismes procurant une 
protection physique au logiciel filtre et aux secrets quil contient. 

Une variante d'execution du mode de realisation de la figure 2A est 
5 prcsente a la figure 2B. Cette variante met a profit la souplesse et la 
facilite de connexion d'un prdinateur personnel a un reseau. Cette 
connexion permet en effet le deport d'une partie du logiciel filtre, et en 
particulier des secrets, dans un serveur securise Ssec. 

Dans le cas de la Figure 2B, le logiciel filtre est decompose en deux 

10 modules logiciels, un module F-PC implante sur Fordinateur personnel PC 
102 et un module F-SE implante sur un serveur de securite Ssec. La 
memoire programmable a laquelle il est reference precedemment et 
stockant le logiciel filtre, est done dans cette variante d'execution 
implantee dans le serveur securise Ssec, e'est-a-dire hors d'atteinte 
* 15 dutilisateurs non autorises. De meme, le logiciel filtre, ou tout au moins la 
partie sensible du logiciel filtre F-SE requerant une protection, est execute 
sur le serveur securise Ssec. 

Le module logiciel F-PC implante sur l'ordinateur personnel PC 102 
est relie par un canal securise CS au serveur de securite Ssec. Ce canal 

20 securise est en fait un canal de communication chiffre permettant un 
echange de donnees protege entre les deux modules logiciels filtre F-PC et 
F-SE et eventuellement une authentification reciproque des deux modules 
F-PC et F-SE. Ce canal securise peut, par exemple, reposer sur des 
protocoles de communication bien connus tels que SSL. 

25 L'etablissement de ce canal securise CS permet done au premier 

module logiciel filtre F-PC de transmettre au deuxieme module logiciel 
filtre F-SE, les requetes regues de lapplication FAp a travers Tinterface 
logique F-API, ainsi que les informations liees a Tidentification de 
Tapplication emettant ces requetes. Ce deuxieme module logiciel F-SE va 

30 ensuite, apres avoir verifie les informations relatives a Tapplication et, en 
fonction de Tapplication et eventuellement de des droits de Tutilisateur, 
traduire ces requetes en une suite de commandes destinees a la carte a 
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puce 31 et au pilotage des echanges de donnees avec l\itilisateur. Ces 
commandes crees par le module F-SE sont ensuite envoyees au premier 
module F-PC qui les aiguille vers l'element concerne : le PC lui meme pour 
ce qui concerne les commandes de pilotage des echanges avec l'utilisateur 
5 ou bieh la carte a circuit integre. Pour que les commandes de pilotage des 
echanges avec l'utilisateur puissent etre executees sur le PC, le PC devra 
comporter un module logiciel I, dit interpreter. Ce logiciel interpreteur 
permet l'affichage de messages sur l'ecran 4 et la saisie d'information par 
l'utilisateur sur le clavier 5. Ce module logiciel interpreteur sera plus 

10 precisement decrit en regard des figures 4B et 4C. 

Ce second mode d'execution est base sur les mecanisnies decrits a 
propos du premier mode d'execution de la figure 2A en ce qui concerne 
l'identification de l'application (hachage ou signature par exemple) et la 
protection des commandes envoyees a la carte (ajout d'un code de type 

15 authentication de message MAC, par exemple). II offre par contre un 
degre de securite superieur dans la mesure ou le module logiciel filtre F-SE 
assurant la traduction des requetes de haut niveau recues de l'application 
Fap est execute dans un environnement securise. Dans le contexte de 
Tinvention, le serveur Ssec est dit securise s'il n'est pas accessible 

20 physiquement ainsi que logiquement, c'est dire a travers une connexion 
reseau, a des personnes non autorisees. 

Ce second mode d'execution de la figure 2B est bien adapte a des 
applications mises en oeuvre dans un environnement ferme ou privatif 
controle par une autorite centrale, car elle necessite un serveur protege 

25 dont l'administration doit etre centralist . Ce second mode d'execution offre 
de plus la possibilite de definir une politique d'acces centralisee aux 
services cryptographiques offerts par la carte a circuit integre. Cette 
politique d'acces peut etre basee sur les applications requerant les services 
de la carte et sur les utilisateurs eux memes. Elle permet, par exemple, 

30 dans la cas d'une entreprise ayant distribue a ses employes ou a ses clients 
des cartes a circuit integre leur permettant de signer des courriers 
electroniques ainsi que des transactions bancaires, de s'assurer que seuls 
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les utilisateurs autorises pourront signer : ce mecanisme peut etre mis en 
oeuvre grace au canal securise CS. A chaque requete de signature emise 
par une des applications consideree comme valide par l'entreprise (la 
messagerie electronique et le logiciel de transactions bancaires), le module 
5 logiciel F-SE effectuera une demandc d'authentification de l'utilisateur. 
Cette demande peut, par exemple, etre effectuee en envoyant un nombre 
aleatoire, challenge ou defi via le canal securise CS a la carte 31. Apres 
saisie par l'utilisateur de son code confidential, la carte a circuit integre 
calculera un mot de passe dynamique en chiffrant le defi a l'aide d'une cle 

10 secrete qu'elle contient. Le mot de passe sera ensuite transmis via le canal 
CS au module logiciel F-SE. Le module logiciel F-SE, connaissant 
l'utilisateur et done la cle secrete contenue dans sa carte, comparera le mot 
de passe re?u au mot de passe attendu. Ce mecanisme connu sous le nom 
d'authentification en mode challenge - reponse permet au module logiciel 

15 F-SE de valider l'identite de l'utilisateur. Ceci permet done a l'entreprise 
ayant remis les cartes a circuit integre aux utilisateurs de s'assurer que 
seuls les utilisateurs encore autorises peuvent par exemple signer des 
transactions bancaires. 

Le serveur Ssec, grace aux moyens securises et centralises qu'il 

20 represente, permet non seulement une implantation securisee du logiciel 
filtre F-SE mais aussi la possibility de mettre en place une politique 
centralisee de controle de Tutilisation des services de securite offerts par la 
carte a circuit integre. Le serveur Ssec permet la mise en place d f une 
politique centralisee du fait qu'un meme serveur peut etre en liaison avec 

25 une pluralite des modules logiciels F-PC implantes sur les ordinateurs 
personnels d'une pluralite d ! utilisateurs. Le serveur Ssec permet ainsi la 
definition et le controle centralises des conditions d utilisation des services 
de securite offerts par les cartes remises aux differents utilisateurs, en 
fonction du profil de Tapplication requerant les services et des droits 

30 desdits utilisateurs. La mise en place de cette politique centralisee 
implique done de stocker dans le serveur les informations necessaires, c est- 


BNSDOCID: <FR .277901 6A1_1_> 


2779018 

25 

a-dire les droits des utilisateurs d'utiliser tel service de securite en liaison 
avec telle application. 

Ce second mode d 'execution de la figure 2B, bien adapte aux 
environnements prives, est par contre difficilement applicable a des 
5 applications ouvertes pour lesquelles la raise en place dun serve ur central 
securise Ssec n'est pas envisageable. , 

La Figure 3 illustre un module terminal reprenant des principes 
d'architecture fonctionnelle similaires a ceux de la Figure 2B dans une 
forme de realisation differente, ne necessitant pas de serveur centralise. Lie 

10 module terminal selon la deuxieme forme de realisation de la Figure 3 
presente un tres haut degre de securite, lui permettant ainsi d' assurer 
directement la protection locale du logiciel filtre F. 

Dans le cas de la figure 3, le module terminal 1 se presente sous la 
forme d'un boitier, portable ou non, dont une face porte Tecran d'affichage 4 

15 et le clavier 5 et dans lequel sont implantes des circuits electroniques, de 
preference de maniere telle que ceux-ci soient inaccessibles depuis 
1'exterieur. Le boitier 1 contient le lecteur 6 et presente une ouverture de 
reception de la carte a micro-circuit 31 dans le lecteur 6. Le mode 
d execution illustre par les Figures 3, 4A, 4B et 4C ne doit pas etre 

20 considere comme se limitant a un terminal dedie. La description qui suit 
peut tout a fait etre appliquee a un terminal construit autour d'un 
ordinateur personnel de type PC ou NC. 

Selon un premier mode d T execution, illustre a la figure 4A, de cette 
deuxieme forme de realisation du module terminal de la figure 3, les 

25 circuits electroniques du module terminal 1 sont organises autour d'un 
microcontroleur standard 2 et d'un microprocesseur 3 securise, qui sont 
connectes entre eux par une liaison et implantes de maniere permanente 
dans le boitier du module 1. En variante, le microprocesseur 3 peut etre 
enfichable sur le module 1 au moyen d'un connecteur 41 represente en 

30 traits interrompus a la figure 4A, II est decrit ici un mode d'execution 
generique base sur un microcontroleur standard. Dans un mode d' execution 
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particulicr qui sera decrit ulterieurement, le microcontroleur 2 peut cn fait 
etre un PC 102 du type de celui presente dans la Figure 2B. 

Le microcontroleur standard 2 comprend une unite de traitement 2a, 
de la memoire temporaire (RAM) 2b, et de la memoire permanente (ROM) 
5 2c. II s'agit de preference d'un microprocesseur "monochip" dont le 
programme est masque dans la memoire permanente 2c et qui integre dans 
un meme circuit integre des moyens de gestion ou pilotage d'interfaces 
standards, l'unite de traitement 2a et les memoires temporaire 2b et 
permanente 2c. 

10 Les interfaces ou peripheriques gerees par le microcontroleur 2 

comprennent notamment l'ecran 4 d'affichage de donnees, par exemple a 
cristaux liquides, le clavier 5 pour ^introduction de donnees par un 
utilisateur, le lecteur 6 de carte a micro-circuit, une interface 7 de liaison 
externe, par exemple du type RS 232 ou PCM-CIA, une interface 8 de 

15 liaison par infrarouge, et un dispositif DTMF 9 pour la transmission de 
donnees sur une ligne telephonique. 

Les composants du module 1 comprennent egalement une horloge 10 
et une source 11 d'alimentation electrique des differents circuits et 
composants du module 1. La source 11 d'alimentation electrique peut etre 

20 constitute par des piles ou une batterie si le module 1 est portable et 
autonome. 

La tache du microcontroleur standard 2 est de gerer 
l'environnement, e'est-a-dire de piloter les interfaces 4-9 et l'horloge 10, 
ainsi que la source d'alimentation 11 pour alimenter selectivement le 
25 microprocesseur securise 3 en energie electrique dans le cas d'un module 1 
autonome. 

Le microcontroleur standard 2 necessite ainsi peu de puissance de 
calcul, peu de memoire temporaire (RAM) et pas de memoire semi- 
permanente (EPROM ou EEPROM). Le microcontroleur 2 est protege en 
30 ecriture du fait que ses programmes (pilotage d'interfaces et, commc decrit 
dans la suite, interpreteur, gestion des horloges et de Talimentation 
electrique, etc..) sont masques en memoire permanente 2c. Comme cela 
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apparaitra dans la suite, lc microcontroleur standard 2 peut egalement 
contenir un ou plusieurs parametres secrets, sur la base desquels il peut 
etre authentifie par le microprocesseur securise du module terminal et/ou 
d'une carte a circuit integre. Ces secrets doivent done eti*e proteges en 
5 lecture et en ecriture. lis seront de preference stockes dans la memoire 
temporaire (RAM) d ! un microprocesseur "mono chip", qui n'est accessible ni 
en ecriture, ni en ecriture depuis Texterieur. Le microcontroleur standard 2 
peut egalement etre pourvu de fonctions de securite complement aires, par 
exemple pour interdire des fraudes telles que l'affichage de donnees 

10 differentes de celles provenant du microprocesseur 3. 

II s'agit par consequent d'un microcontroleur d'un faible cout et 
ayant une faible consommation electrique, qui est particulierement adapte 
a un produit portable. Ce microcontroleur peut etre par exemple du type 
MSM 63180 de la Societe OKI. 

15 De preference, deux horloges sont prevues en 10 : une horloge a 

frequence basse 10a, par exemple de frequence 32,368 KHz et une horloge 
a frequence elevee 10b, pouvant aller de 1 MHz a 12 MHz par exemple Le 
microcontroleur 2 commande la connexion de son horloge systeme sur Tune 
ou Tautre de ces deux horloges. 

20 L'horloge lente 10a cadence un dispositif de temporisation 2d du 

microcontroleur 2 avec une periode de 0,5 s pour realiser une horloge temps 
reel dans le module 1. L'unite de traitement 2a peut egalement fonctionner 
a Taide de Thorloge lente 10a pour les fonctions ne necessitant pas de 
vitesse de calcul : dans ce cas 1'horloge systeme du microcontroleur 2 est 

25 connectee sur Thorloge lente 10a et Thorloge rapide 10b est arretee. Ce 
mode de fonctionnement permet de limiter la consommation electrique du 
module 1, ce qui est avantageux si celui-ci est portable et alimente par une 
pile electrique. 

Le microprocesseur 3 securise en lecture et en ecriture comprend une 
30 unite centrale 3a et des memoires temporaire (RAM) 3b et permanente 
(ROM) 3c, ainsi qu'une memoire semi-permanente reprogrammable 
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electriquement (EEPROM ou Flash RAM par exemple) 3d pour le stockage, 
entre autres, des programmes d'application du module 1. 

Ce microprocesseur securise 3 est du type de ceux utilises dans les 
cartes a micro-circuit et il presente un nombre limite d'entrees et de sortie, 
5 ses bus internes etant inaccessibles depuis Texterieur. De par sa 
fabrication, il integre d'autres mecanismes de securite propres a ce type de 
microprocesseur et bien connus des specialistes de la technique, tels que 
matrice de securite, brouillage de memoire, controle de la frequence 
d'horloge, controle de la remise a zero (RESET), etc... 

10 Grace au fait que le microprocesseur 3 possede une memoire semi- 

permanente 3d, il est possible d'y charger depuis Texterieur, par exemple a 
partir d'un serveur ou d'une carte a micro-circuit, un ou des programmes 
d'application. II est ainsi possible, en fonction des besoins, de f aire e vol uer 
la ou les applications (controle d'acces, transaction financieres et/ou 

15 commercials, porte-monnaie electronique, etc..) auxquelles est destine le 
module 1. II est egalement possible, si la taille de la memoire semi- 
permanente 3d le permet, d'y implanter de nouvelles applications au cours 
de son utilisation. 

Selon la version choisie, le microprocesseur securise 3 peut assurer 

20 le calcul de fonctions cryptographiques requerant des calculs importants 
mis en oeuvre dans les algorithmes asymetriques de type RSA ou DSA, ou 
bien mettre en ceuvre des algorithmes plus simples, par exemple du type 
DES. 

Le microprocesseur securise 3 peut ctre, par exemple : 
25 - un microprocesseur SIEMENS SLE44C160S, non cryptographique, 

dote de 14 Ko de memoire ROM et de 16 Ko de memoire EEPROM ; 

- un microprocesseur SGS THOMSON ST16CF54A cryptographique 
dote de 16 Ko de memoire ROM, de 4Ko de memoire EEPROM et de 480 
octets de memoire RAM ; 
30 - un microprocesseur PHILIPPS P83C858 cryptographique dote de 

20 Ko de memoire ROM et de 8 Ko de memoire EEPROM. 
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Le microprocesseur securise 3 est connecte, d'une part par la liaison 
12 au microcontroleur standard 2, d'autre part par des liaisons 13 et 14 a 
Tinterface externe 7 et au lecteur 6 de carte a micro -circuit par 
rintermediaire de commutateurs-adaptateurs dmterface 15 et 16 
respectivement. Les commutateurs-adaptateurs 15 et 16 sont commandes 
par le microcontroleur standard 2 via des liaisons 17 et 18 respectivement. 

Le microcontroleur standard 2 comprend un programme 
d'interpretation ou interpreteur 20 (Fig. 4B et 4C) stocke dans la memoire 
ROM 2c et permettant a celui-ci d'executer des commandes generees par le 
logiciel de traduction des requetes de haut niveau faisant partie du ou des 
programmes d'application, comme cela sera decrit dans la suite. Cet 
interpreteur 20 permet ainsi au(x) programme(s) d'application stocke(s) 
dans le microprocesseur securise 3 de piloter les interfaces 4-9 via la liaison 
12. Cependant, le ou les programmes d'application peuvent etre localises et 
executes ailleurs que dans le microprocesseur 3 securise en lecture et en 
ecriture, par exemple dans une carte a micro-circuit 31 inseree dans 
Tinterface 6, telle qu'une carte adaptee pour supporter des mecanismes de 
telechargement et d'execution des applications comme decrit dans la norme 
NF EN 726-3 intitulee "Cartes a circuit integre et terminaux pour les 
telecommunications. Partie 3 : Specifications de la carte independantes des 
applications". 

Les programmes d'application peuvent en outre, en fonction des 
regies de securite auxquelles ils sont soumis, etre distribues entre ces 
differentes localisations. 

Le schema fonctionnel de la figure 4B illustre une premiere 
configuration d'architecture logicielle du module 1 de la figure 4A dans 

laquelle l'ensemble des programmes d'application Al, A2, An et des 

fonctions de securite (calcul de condense, algorithmes cryptographiques 
symetriques tels que DES, triple DES, ou asymetriques tels que proposes 
par RSA) est mis en oeuvre dans le microprocesseur securise 3. 

Les applications nominees ci-dessus et dans la suite de la description 
Al, A2, An comprennent au minimum les filtres Fl, F2, Fn, et done 
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en particulier les logiciels de traduction des requetes emises par le ou les 
fournisseurs de services applicatifs FAp faisant partie de l'application 
principale 54 (Figure 8A). 

Le microcontroleur standard 2 gere l'environnement an moyen de 
5 differcnts programmes de gestion ou gestionnaires d'interface a savoir : 

- un gestionnaire 21 du lecteur ou interface 6 de carte a micro- 
circuit; 

- un gestionnaire 22 de l'interface 7 de liaison serie ; 

- un gestionnaire 23 du clavier 5 ; 

10 - un gestionnaire 24 de interface 8 de liaison par infrarouge ; 

- un gestionnaire 25 de l'af&cheur 4 ; 

- un gestionnaire 26 de Thorloge 10 et de la source d'alirnentation 11; 

- un gestionnaire 27 de interface DTMF 9 ; 

- un gestionnaire 28 d'autres interface, dans Thypothese ou le 
15 module 1 comporte une ou des interfaces autres que celles representees a la 

figure 2. 

Ainsi, le microprocesseur securise 3 peut piloter les interfaces au 
mo3'en de commandes qui sont interpretees par l'interpreteur 20 et 
executees par le microcontroleur standard 2 grace aux gestionnaires 21-28. 

20 La figure 4C illustre une seconde configuration logicielie du module 

1 de la figure 4A dans laquelle une ou plusieurs applications Ax et une ou 
, plusieurs fonctions cryptographiques Sx sont stockees dans une memoire 
reprogrammable 30a d'un microprocesseur securise 30 d'une carte a micro- 
circuit 31. Lorsque la carte 31 est introduite dans le lecteur 6, le 

25 microprocesseur 30 execute les applications Ax et les fonctions 
cryptographiques Sx, tandis que d'autrcs applications et fonctions de 
securite peuvent etre residentes dans et mises en oeuvre par le 
microprocesseur securise 3 du module 1. Cest ainsi, par exemple, que le 
microprocesseur 30 de la caite 31 peut assurer une fonction de signature 

30 electronique dans l'hypothese ou le microprocesseur securise 3 n'integrc 
pas un processeur de calcul dedie (cryptoprocesseur). Reciproquement, si le 
microprocesseur securise 3 integre un cryptoprocesseur, il est egalement 
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possible qu'une application presente dans la carte a micro-circuit 31 fasse 
appel a des commandes ciyptographiques du module 1, commandes qui 
seront executees par le microprocesseur securise 3. 

Dans cette seconde configuration, qui pour le reste est identique a 
5 cclle de la figure 4B, i'interpreteur 20 joue vis-a-vis du microprocesseur 30 
le meme role que celui qu'il remplit vis-a-vis du microprocesseur securise 3. 
Le module 1 peut ainsi executer des applications differentes selon le type 
de carte 31a micro-circuit introduit dans le lecteur 6, par exemple : 

- une authentification de Tutilisateur dans le cadre d'une transaction 
10 bancaire (consultation de compte, virement de fonds, etc..) effectuee via 

une ligne telephonique au moyen de Tinterface DTMF 9 ; 

- une consultation du solde d'un porte-monnaie electroriique, ou le 
rechargement de ce porte-monnaie, a partir du module 1, lorsqu'une carte a 
micro-circuit 31 remplissant la fonction de porte-monnaie est introduite 

15 dans le lecteur 6. En outre, le module 1 perrnet de gerer plusieurs cartes 
porte-monnaie differentes : porte-monnaie bancaire, porte-monnaie 
specifique a une collectivite par exemple ; 

- lecture d'un dossier medical sur une carte medicale ; 

• lecture de points de fide lite sur une carte dans laquelle des points 
20 de fidelite sont attribues a un consommateur en fonction d'achats effectues, 
de sa participation a des operations de fidelisation de clientele, etc... 

Le mode d'execution decrit ci-dessus a la Figure 4A ainsi que les 
configurations logicielles presentees dans les Figures 4B et 4C 
s'appliquent, de maniere analogue, a un terminal construit autour d'un PC 
25 conventionnel equipe en outre du microprocesseur securise 3. Dans ce mode 
d'execution, le microcontroleur 2 correspond au PC 102 tel qu'il est 
presente a la Figure 2A, l'unite de traitement 2a correspond au 
microprocesseur 102c du PC, et les memo-ires RAM 2b et perrnanentes 2c 
correspondent respectivement a la memoire RAM 102d et au disque dur 
30 102b. De meme les entrees / sorties 102a du PC correspondent aux modules 
d'interfaces 7, 8 et 12 de la Figure 4A. La connexion entre le 
microprocesseur securise 3 et le PC 102 peut etre une liaison serie ou 
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parallele, ou bien encore une connexion au bus interne du PC, du type 
PCMCIA, ou une connexion directe sur la carte mere du PC. En variante, le 
microprocesseur securise 3 peut etre integre de maniere fixe, ou amovible 
via le connecteur 41, au clavier du PC. 
5 Dans cc cas, le module logiciel interpreteur 20 ainsi que les modules 

logiciels de gestion des peripheriques 20 a 26 et 28 sont implantcs et 
executes sur le PC. L'architecture fonctionnelle de ce mode d'execution est 
equivalente a celle presentee a la Figure 2B, le module interpreteur 20 
ainsi implante sur le PC assurant le meme role que le module interpreteur 
10 I de la Figure 2B : il execute les commandes de pilotage des echanges avec 
Futilisateur regues du logiciel filtre F lui-meme implante de maniere 
securise dans le microprocesseur 3 (Figure 4B) ou la carte a circuit integre 
30 (Figure 4C). 

Le schema de la figure 5 illustre un deuxieme mode d'execution de la 

15 deuxieme forme de realisation de Tinvention, dans lequel les circuits 
electroniques du module terminal 1 sont organises autour d'un seul 
microcontroleur 29 remplagant le microcontroleur 2 et le microprocesseur 3 
et pouvant offrir le meme type de protection physique et logique que les 
microprocesseurs congus pour les cartes a circuit integre.. Ce 

20 microcontroleur gere Tensemble des moyens d'interfaces 4-9 du module 
terminal. II comporte une unite de traitement 29a, une memoire 
temporaire (RAM) 29b, une memoire permanente (ROM) 29c et une 
memoire semi-permanente (EEPROM) 29d permettant le stockage du 
logiciel de traduction. L'unite de traitement 29a correspond a la fois a 

25 l'unite '2a de traitement de donnees permettant le pilotage des interfaces et 
a Tunite 3a de traitement permettant Texecution du logiciel de traduction. 
De meme que precedemment, le module terminal 1 peut etre construit 
autour d'un ordinate ur personnel PC 102 auquel serait connccte au bus 
interne un microcontroleur securise 29 pilotant ainsi directernent Tecran 

30 d'affichage 4 et le clavier 5 du PC. 

Dans une variante de realisation, la memoire dans laquelle est 
stockee le logiciel de traduction des requetes de haut niveau, memoire 
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volatile de type RAM avec une alimentation de sauvegarde ou semi- 
permanente (EEPROM ou Flash RAM), peut etre externe au 
microcontroleur 29. Dans ce cas, le logiciel de traduction peut etre chiffre et 
signe, ou protege par un code de type MAC ("Message Authentication 
Code") de maniere a assurer a la fois son integrite et sajconfidentialite. Le 
logiciel est lu par le microcontroleur 29, dechiffre puis execute. 

Selon un troisieme mode d'execution, represents a la figure 6, de la 
deuxieme forme de realisation de Pinvention, le module terminal 101 est 
depourvu de microprocesseur securise 3. Sur cette figure 6, les memes 
numeros de reference qu f a la figure 4A ont ete conserves pour designer les 
memes elements. Le microcontroleur 2 pilote Tinterface 6 et le 
com mutate ur-adaptateur 5 pour permettre la connexion du 
microprocesseur securise 130 d ! une carte a micro-circuit programmable 131 
presente dans Tinterface 6 avec Tinterface de liaison externe 7. Dans ce cas, 
Tensemble des applications A et des fonctions. cryptographiques C sont 
memorisees dans une memoire semi-permanente 130a (EEPROM ou Flash 
RAM) du microprocesseur securise 130 de la carte a micro-circuit 
programmable 131, et mises en oeuvre par ce dernier comme decrit a la 
figure 4C a propos des applications Ax et des fonctions cryptographiques 
Cx. 

Dans les exemples decrits precedemment, dans un but de 
simplification, le microprocesseur 30, 130 de la carte a circuit integre ainsi 
que le microprocesseur securise 3 eventuellement implante dans le module 
terminal comporte un seul port de communication. Ceci implique que dans 
ces exemples, les echanges entre les differentes entites, a savoir l'unite 
electroniquc 154 (figure 8) contenant Tapplication principale, le 
microprocesseur securise 3 et le microprocesseur 30, 130 de la carte circuit 
integre se font a travers le microcontroleur 2 ou 29 du module terminal. 
Ces descriptions ne doivent pas etre considerees comme limitatives : 
d'autres mises en ceuvre peuvent etre envisagees dans le cadre de la 
presente invention. En effet, les microprocesseurs securises de carte a 
circuit integre actuellement disponibles, utilisables pour la carte elle meme 
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(microprocesseur 30, 130) ou dans le module terminal (microprocesseur 3), 
peuvent comporter deux ports de communication. Differentes formes de 
realisation optimisant les flux de communication sont done aisement 
envisage ables avec ce type de microprocesseur. Dans le cas de la figure 4C, 
5 par exemple, un des ports de la carte a circuit integre 31 peut etre dedie au 
pilotage de Finterface utilisateur et done relie au microcontroleur 2, Fautre 
port etant relie a Funite electronique comportant Fapplication principale 
moyennant une adaptation d 'interface appropriee. 

Suivant une caracteristique importante dc Finvcntion, un logicicl 

10 filtre est implante dans la memoire reprogrammable EEPROM associee au 
microprocesseur securise 3 ou 29 du module terminal 1 et/ou au 
microprocesseur securise 30, 130 de la carte 31, 131. Ce logiciel filtre 
traduit dc maniere connue les requetes de haut niveau en provenance du 
serveur Sap ou de Fordinateur personnel PC en sequences de commandes 

15 elementaires executables par ces microprocesseurs (commandes qui sont 
notamment definies par la partie 4 de la norme ISO 7816-4). En outre, 
suivant Finvcntion, ce logiciel filtre traduit ces requetes de haut niveau en 
sequences d'echanges de donnees entre le module terminal 1, 101 et un 
utilisateur via les moyens d'interface tels que Fafficheur 4 et le clavier 5. 

20 Cette solution offre Favantage de reduire considerablement le debit 

de donnees echange entre le module terminal 1, 101 et le serveur Sap ou le 
PC, mais requiert une implantation securisee du logiciel de traduction pour 
empecher que les instructions envoyees a la carte a micro-circuit soient 
modifiees. 

25 Ce logiciel filtre fait partie integrante de la partie du logiciel 

^application implantee dans le module terminal 1 et/ou la carte 31, 131 et 
il est done telechargeable. 

La figure 7 illustre Farchitecture logicielle conventionnellc d'une 
carte a micro-circuit. 

30 Les differentes couches de lbgiciels sont representees par un bloc 43 

qui comprend une couche logicielle 44 "protocole de communication" 
permettant de recevoir des commandes. Ces commandes sont decodees par 
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une couche logicielle 45 "Interpretation commandos APDU n (APDU : 
"Application Protocol Data Unit" dont le role est d'orienter les cornmandes 
vers des modules de traitement qui peuvent etre : 

- un logiciel 46 de services de gestion de fichiers securises ; 
5 - un logiciel 47 de services cryptographiques ; 

- un ou d'autres logiciels d'application 48 

Les modules de traitement 46, 47, 48 s'appuient sur des services de 
base offerts par le sys ,ae d'exploitation 49 de la carte a mici % o-circuit. 

La figure 8 A illustre 1'architecture logicielle d'un systeme de mise en 
10 oeuvre de transactions securisees faisant appel a des modules terminaux 1 
dotes d ! un microprocesseur securise 3, conformement au mode d'execution 
de l'invention de la figure 4A. 

Le bloc 51 designe les logiciels executes par le microprocesseur 
securise 3 du module terminal 1, le bloc 52 les logiciels executes par le 
15 microcontroleur 2 ou PC 102 du module terminal 1, le bloc 5.3 les logiciels 
executes par le microprocesseur 30 d'une carte a micro-circuit 31, et le bloc 
54 le logiciel principal d'application, ou Fournisseur de services applicatifs, 
implante dans le serveur Sap ou un ordinateur personnel PC. 

Le bloc 51 est similaire au bloc 43 de la figure 7, c'est-a-dire que le 
20 microprocesseur securise 3 a une architecture semblable a celle d'une carte 
a circuit integre. Le bloc 51 comprend : 

- un logiciel 60 de protocole de communication. 

- un systeme d f exploitation 61 

- un bloc 62 representant la partie du logiciel d'application implantee 
25 dans le module terminal 1, cette partie du logiciel d'application etant 

essentiellement constitute du logiciel filtre precite. Differents modules 
logiciels de ce type correspondant a differentes applications peuvent 
cohabiter dans le microprocesseur securise 3. 

optionnellement, un logiciel 63 permettant d'assurer 
30 l'authentification du microcontroleur standard 2 par le microprocesseur 
securise 3 et T authentication du microprocesseur securise 3 du module 
terminal 1 par le microprocesseur 30 de la carte 31, 
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- un logiciel 64 do gcstion dc fichicr securise, 

- un logiciel 65 de services cryptographiques. 
Le bloc 52 comprend : 

- un logiciel 70 de protocole de communication ; 

5 - un interpreteur de commandes 71 correspondant au logiciel 20 des 

figures 4B et AC ; 

- un logiciel d'authentification 72 permettant, en liaison avec le 
logiciel 63, l'authentification du microcontroleur standard 2 par le 
microprocesseur securise 3 du module terminal 1 ; 

10 - des logiciels 73 de gestion des ressources internes du 

microcontroleur 2 ; 

- des logiciels 74 de pilotage des interfaces avec Tutilisateur 
(gestionnaires 23 et 25 de 1'ecran 4 et du clavier 5) ; 

- des logiciels 75 de pilotage des interfaces de communication 7, 8 et 
15 9 (gestionnaires 22, 24, 27) ; 

Enfin, le bloc 53 est similaire au bloc 43, mais ne comporte pas, dans 
Texemple decrit par la figure 8A, de logiciel duplication ou filtre. II 
comprend : 

- un logiciel 80 de protocole de communication, 

20 - un logiciel 81 d'interpretation de commandes APDU, 

- un logiciel 82 de services de gestion de fichicr securise (controle du 
PIN par exemple), 

un logiciel 83 de services cryptographiques (calculs 
cryptographiques symetriques a cles secretes ou asymetriques, a cles 
25 publiques et cles privees, etc..) permettant, entre autres, d'assurer, en 
liaison avec le logiciel 63, l'authentification du microprocesseur securise 3 
du module terminal 1 par le microprocesseur 30 de la carte 31, 

- le systeme d'exploitation 84 du microprocesseur 30 de la carte 31. 
Le protocole de communication €0, 70, 80 permet de gerer les 

30 echanges de donnees entre : 

- le microprocesseur 30 de la carte 31 et le- microcontroleur standard 

2 ou PC 102 du module terminal 1 ; 
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- le microprocesseur securise 3 et le microcontroleur 2 du module 
terminal 1 ; 

- le microprocesseur securise 3 du module terminal 1 et le 
microprocesseur 30 de la carte 31. 

5 La figure 8B est une vue similaire a la figure 8A illustrant 

l'architecture logicielle du systerne dans le cas ou le module terminal 101 
ne comporte pas le microprocesseur securise 3, conformement au troisieme 
mode d'execution du deuxieme mode de realisation de Tinvention de la 
figure 6. 

10 Sur la figure 8B, le bloc 152 designe les logiciels executes par le 

microcontroleur 2 du module terminal 101, le bloc 153 les logiciels executes 
par le microprocesseur 130 d'une carte a micro-circuit programmable 131, 
et le bloc 154 le logiciel principal d'application implante dans le serveur 
Sap ou un ordinateur personnel PC. 

15 Le bloc 152comprend les memes logiciels 70, 71 et 73 a 75 que le 

bloc 52 de la figure 7, et un bloc 76 qui est un logiciel d f authentification du 
microcontroleur standard 2 du module terminal 101 vis-a-vis du 
microprocesseur 130 de la carte 131. 

Le bloc 153 relatif au microprocesseur 130 de la carte 131 comprend 

20 les logiciels 62 et 80 a 84 des blocs 51 et 53 de la figure 7, ainsi qu'un 
logiciel 77 permettant, en liaison avec le logiciel 76, d'assurer 
1'authentification du microcontroleur standard 2 du module terminal 101 
vis-a-vis du microprocesseur 130 de la carte 131. 

A la difference d'un systerne conventionnel, dans le systerne de 

25 transaction securisee selon l'invention, le logiciel filtre 62 qui traduit les 
requetes de haut niveau de 1'application en commandos elementaires 
executables par une carte a micro-circuit est implante dans 
Tenvironnement utilisateur securise, e'est-a-dire soit dans le module 
terminal 1 (pour les applications Al, A2 An des modes d'execution des 

30 figures 4A-4C et 5), soit dans une carte 31, 131 a mcmoire semi- 
permanente utilisable avec le module terminal 1, 101 (pour les applications 
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Ax du mode de realisation de la figure 4C et pour toutes les applications du 
mode de realisation de la figure 6). 

Outre sa fonction de gestion d'une carte a micro-circuit, ce logiciel 
filtre 62 gere les interactions avec l'utilisateur, c'est-a-dire les sequences 
5 d'echange de donnees entre un utilisateur et le module terminal qui sont 
requises dans le cadre d'une application, echanges qui ont lieu par 
I'intermediaire des moyens d 'interface, a savoir l'ecran 4 et le clavier 5. II 
est a noter que invention n'est pas limitee a l'utilisation d'un ecran et d'un 
clavier comme interfaces avec Tutilisateur et que tout autre type 
10 d'interface, par exemple vocale, presentant Tergonomie requise, pourrait 
convenir. 

Grace a l'implantation securisee du logiciel filtre 62 dans le 
microprocesseur securise 3 ou 29 du module terminal 1 ou le 
microprocesseur 30, 130 de la carte a micro-circuit 31, 131, la securite des 
15 transactions est assuree. En effet, les cles et regies necessaires pour 
acceder a des fichiers de la carte a micro-circuit 31, 131 sont contenues 
dans le logiciel de traduction 62 et sont done inaccessibles a des tiers. 

Les fonctions remplies par le logiciel filtre 62 seront illustrees ci- 
apres en prenant Texemple d'une application visant le commerce 
20 electronique. L'application met en ceuvre les entites suivantes : 

• un acheteur 

• un commerQant, 

• une banque. 

Le commer?ant dispose d'un serveur de commerce electronique Sap 
25 (serveur Web) accessible depuis le reseau Internet. Les acheteurs sont 
equipes dc: 

• un ordinateur PC permettant d*acceder au serveur Sap de commerce 
electronique, et grace auquel Tacheteur peut consulter un catalogue de 
marchandises. 

30 • une carte a circuit integre 31 delivree par la banque et dont le 
microprocesseur 30 contient une cle privee, mais ne dispose pas de 
capacites cryptographiques permettant d'effectuer une signature, 
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• un module terminal 1 selon le mode de realisation de la figure 4A, dote 
d'un microcontroleur standard 2, d'un microprocesseur securise 3 
disposant de capacites cryptographiques permettant la signature d'un 
message, d'un clavier 5, d'un afficheur 4, d'une interface carte a circuit 
5 integre 6 et d'une interface serie 7 pour sa connexion a un ordinateur 

PC. 

Les principes de fonctionnement sont les suivants : la transaction est 
signee par le module terminal 1 a l'aide d'une cle privee detenue par la 
carte 31. Cette cle privee est protegee par un code porteur confidcntiel 

10 (PIN) que Tacheteur doit saisir en milieu securise, done sur le terminal 1, 
et par une authentication prealable du terminal 1 par la carte 31 a l'aide 
d'une cle secrete Kauth. De plus la cle privee est transmise de maniere 
chiffree (par une cle Kchif) de maniere a etablir un canal de communication 
securise entre le microprocesseur 30 de la carte a circuit integree 31 et le 

15 microprocesseur securise 3 du terminal 1. 

La figure 9 illustre les echanges entre les differentes entites : 

a. Tacheteur constitue sa commande sur Tordinateur PC, 

b. Tordinateur PC elabore la transaction a faire signer par Tacheteur 
(reference article, prix) et demande la signature de cette transaction au 

20 module terminal 1, 

c. le module terminal verifie l'origine de la demande de signature puis 
sollicite la saisie du code PIN par affichage d'un message "saisic PIN" sur 
son afficheur 4, 

d. Tacheteur saisit son code porteur (code PIN) sur le clavier 5 du module 
25 terminal 1, 

e. le PIN est envoye par le module terminal 1 a la carte 31 pour 
verification. Cette verification etant positive, elle provoque la levee d'une 
de deux conditions d'acces a la lecture de la cle privee, 

f. le module terminal 1 affiche la transaction sur son afficheur 4, 

30 g. Tacheteur donne son accord, par appui sur unc touche "validation" du 
clavier 5 du module terminal 1, 
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h. le module terminal 1 soumet une demande d'authentification externa a 
la carte 31. Cette authentification externe permet au microprocesseur 
securise 3 du module terminal 1 de s'authentifier vis-a-vis du 

. microprocesseur 30 de la carte 31 et de lever ainsi la deuxieme protection 
5 d'aCfces a la cle privee. Cette authentification se fait en mode 
challenge/reponse sur la base d'un secret., Kauth, partage par le module 
terminal 1 et la carte 31, 

i. le module terminal 1 envoie une demande de lecture de cle privee a la 
carte 31, 

10 j. toutes les conditions d'acces etant remplies, la carte 31 accepte la 
demande de lecture, et renvoie la cle privee, chiffree par une cle secrete, 
Kchif, partagee par la carte 31 et le module terminal 1, 

k. le module terminal 1 dechiffre la cle privee, signe la transaction au 
moyen de la cle privee, detruit la cle privee, se deconnecte de la carte 31 et 
15 envoie e la transaction signee a l'ordinateur PC qui la transmet au serveur 
S. 

Cet exemple peut etre transpose aisement a une transaction 
electronique effectuee sans ordinateur PC, le module terminal 1 se 
connectant directement a un serveur Sap par une liaison modern (figure 3), 
20 l'acheteur entrant la commande (reference produit) sur le module terminal 
1. 

.11 est a noter que 1'authentification du microprocesseur securise 3 
par la carte peut aussi etre effectue a travers la commande do lecture de cle 
privee en lui associant un code d'authentification MAC (Message 

25 Authentification Code) calcule au moyen d'une cle secrete. 

Cet exemple montre que le logiciel filtre 62 permet de traduire une 
requete de haut niveau "demande de signature de transaction" en une 
multitude de requetes elementaires adressees aux differentes interfaces du 
module terminal 1, a savoir l'interface 6 avec la carte a circuit integre 31, 

30 Tinterface afficheur 4, l'interface clavier 5, l'interface de connexion a 
Tordinateur PC ou au serveur Sap. 
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Un tel logiciel filtre de traduction a un role d'ecran, de filtre entre le 
monde extericur, c'est a dire les applications, et les peripheriques qu'il 
gere. 

II ameliore la securite offerte du fait que : 

1. il impose un sequencement aux ordres elementaires envoyes. Par 
exemple, dans le cas illustre ci-dessus, il impose que la transaction soit 
validee par l'utilisateur avant d'etre signee. 

2. il dispose seul des parametres secrets permettant de generer et 
d'authentifier ces ordres elementaires. Ainsi il dispose seul des cles 
d'authentification et de chiffrement permettant de lire et dechiffrer la cle 
privee. 

Lorsque le logiciel filtre est execute dans le microprocesseur securise 
3 du module terminal 1, ces proprietes permettent d f iraposer une politique 
d'acces a la carte 31, politique qui n'est pas toujours completement imposee 
par la carte elle-meme, ou d'etendre les capacites d'une carte (capacite de 
signature deleguee au module terminal, utilisation dans un contexte non 
prevu lors de son deploiement initial). 

Les avantages offerts en terme de securite par Texecution du logiciel 
filtre dans le microprocesseur securise du module terminal ou dans celui de 
la carte a circuit integre ne sont possibles que parce que le logiciel s'execute 
dans un environnement securise permettant d*assurer que : 

• les secrets contenus par le logiciel filtre ne sont pas accessibles du fait 
qu f ils sont memorises au sein du microprocesseur securise 3, 29, 30 ou 
130, 

• la confidentiality et Tintegrite du logiciel filtre sont preserves, du fait 
que ce logiciel est memorise dans la microprocesseur securise 3, 29, 30 
ou 130. 

Dans le cas ou le module terminal 1 est un produit dedie, disposant 
de ses propres interfaces, afficheur 4 et clavier 5, Tobjectif de securite est 
atteint grace au fait que le logiciel pilotant les echanges de donnees avcc 
l'utilisateur ne peut etre modifie, dans la mesure ou il est stocke de 
maniere definitive dans la memoire permanente 2c du microcontroleur 2 ou 
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de maniere securisee dans le microcontroleur 29. L'utilisateur peut ainsi 
valider en toute confiance le contenu de sa transaction grace a l'afficheur 4 
et au clavier 5, rendant optionnel la necessite de verifier Tidentite de 
l'application ou l'origine et l'integrite des requetes. 
5 D'autres mecanismes peuvent encore ameliorer le niveau de securite 

de la chaine de confiance entre le microprocesseur securise de la carte a 
circuit integre, Teventuel microprocesseur securise du module terminal, le 
microcontroleur standard ou le PC du module terminal et l'utilisateur. Ces 
mecanismes sont les suivants : 
10 A) telechargement securise du logiciel filtre ; 

B) authentification du microcontroleur standard par le 
microprocesseur securise ou, ce qui est equivalent mais mieux adapte dans 
le cas dun mode d'execution du terminal autour d'un PC, authentification 
du module logiciel interpreteur I (20) par le logiciel filtre F (62), et/ou 

15 etablissement d'un canal de communication securisee entre ces deux 
microprocesseurs ou les logiciels I et F, 

C) protection d f un secret par le microcontroleur standard , 

D) authentification mutuelle et etablissement d'un canal de 
communication securise entre le microprocesseur securise de la carte a 

20 circuit integre et le microprocesseur securise du module terminal, 

E) authentification du module terminal , et eventuellement du 
couple module terminal-carte, 

F) authentification de la carte a micro-circuit par le module 
terminal. 

25 A) Telechargement securise du logiciel filtre 

L'organigramme dc la figure 10 illustre le processus de 
telechargement d'un programme d'application (logiciel filtre) dans 1c 
microprocesseur securise 3 ou 29 du module 1 ou le microprocesseur 
securise 30, 130, d'une carte 31, 131 presente dans le lecteur 6. Ce 
30 telechargement peut etre effectue a partir d'un serveur Sap via, par 
exemple, Tordinateur personnel PC et Tinterface 7 de liaison externe ou 
Tinterface 8 de liaison infrarouge, ou directement au moyen d f une haison 
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telephonique grace a 1'interface 9 de liaison par DTMF. Lc telechargement 
peut egalement etre effectue dans le microprocesseur sccurise 3 ou 29 (si le 
module terminal en est equipe) a partir d'une carte a micro-circuit 
introduite dans le lecteur 6. 
5 A l'etape 32, la zone de la memoire 3d allouee au programme 

d'application a recevoir est vide et le microprocesseur 3 est en attente du 
chargement du programme duplication a la suite d'une requete de 
chargement. 

L'etape suivantc 33 correspond a une procedure d'authentification 
10 par le microprocesseur 3 de Tentite appelee a telecharger le programme 
duplication (Emetteur). Cette procedure d'authentification peut faire 
appel, par exemple, a des mecanismes de chiffrernent bien connus des 
specialistes de la technique, par exemple des mecanismes symctriques a 
cles secretes partagees ou des mecanismes asymetriques a cle privee et cle 
15 publique. 

L'etape 34 est un test visant a determiner si la procedure 
d'authentification a reussi : dans la negative, le message "acces refuse" est 
affiche sur Tecran 4 (etape 42) et le programme retourne a l'etape 32; dans 
l'affirmative, le processus de chargement du programme d'application 

20 commence a l'etape 35. 

L'etape 36 correspond au stockage dans la memoire EEPROM 3d des 
trames de donnees transmises par l'entite assurant le telechargement. 

L'etape 37 est un test pour determiner si le telechargement est 
acheve : dans la negative, le programme de telechargement revient a 

25 l'etape 36 et le telechargement se poursuit ; dans Taffirmative, il est 
procede a l'etape 38 a une verification de l'integrite des donnees regues par 
le microprocesseur 3. A cet effet, un code d'authentification de message 
(MAC) peut etre associe au programme telecharge pour permettre de 
verifier non seulement son integrite, mais egalement son origine. Le MAC 

30 peut etre produit en utilisant un mecanisme dc cryptographie symetrique 
(DES en mode chaine CBC). La verification de Torigine et de l'integrite 
peut aussi etre realisee a Taide d'un mecanisme de cryptographie 
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asymetrique : un condense du logiciel telecharge est signe par l'emctteur a 
l'aide de sa cle privee ; le microprocesseur securisc 3 verifie ensuite la 
signature a l'aide de la cle pubiique de l'emetteur. 

II est a noter que dans ce dernier exemple, la cle pubiique par. 
5 principe ne necessite pas de rester confidentielle. Cependant la securite 
apportee par le microprocesseur assure l'integrite du logiciel, empechant 
un fraudeur de modifier le logiciel pour supprimer la verification de 
signature ou simplement de substituer a la cle pubiique initialement 
prevue une cle pubiique pour laquelle il connaitrait la cle privee : associee. : 

10 Si d'apres le test 39, il s'avere que les donnees regues sont correctes, 

un drapeau indiquant que le programme d'application regu est valide est 
elabore a Tetape 40. Dans le cas contraire, le programme de 
telechargement revient a l'etape 32 de depart. 

Ce processus de chargement du logiciel d'application, done du logiciel 

15 filtre, dans la memoire reprogrammable securisee (3d, 30a, 130a suivant le 
mode de realisation), comporte des mecanismes permettant de confixmer 
Torigine et l'integrite des donnees regues de Temetteur du logiciel. Ceci 
permet d'interdire le telechargement par un fraudeur d'un logiciel filtre qui 
serait susceptible de mettre en oeuvre des transactions dans, le module 

20 terminal 1, 101 a Tinsu de Tutilisateur. 

B) Authentication du module logiciel interpreteur I, 20, 71 par le 
logiciel filtre F, 62 ou, ce qui est equivalent dans le mode 
d'execution correspondant, authentification du microcontroleur 
standard 2 par le microprocesseur securise, et/ou etabllssement 

25 d'un canal de communication securise entre ces deux logiciels ou 
ces deux microprocesseurs. 

Pour qu'un utilisateur puisse avoir une totale confiance dans le 
module terminal au moyen duquel il effectue des transactions, il est 
necessaire : 

30 - d'authentifier les donnees transmises du logiciel interpreteur 20, 

71au microprocesseur securise 3, 30 ou 130 executant le logiciel filtre ; 
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- d'assurer que les donnees transmises par le logiciel filtre pour etre 
affichees par l'intermediaire du logiciel interpreteur du module terminal 1, 
101 possede par l'utilisateur ne peuvent l'etre que par celui-ci. 

Lorsque les moyens de pilotage des echanges de donnees avec 
l'utilisateur, c'est a dire le logiciel interpreteur 20, 71, sont implantes de 
maniere fixe et non modifiable dans le module terminal 1, 101, comme par 
exemple dans la memoire ROM 2c du microcontroleur standard 2, 
l'authentification du module logiciel est equivalente a rauthentification du 
microcontroleur. 

De meme, lorsque le logiciel filtre est implante de maniere a ne pas 
pouvoir etre modifie par une personne non autorisee, dans des moyens de 
traitement securises tels que le microprocesseur securise 3, la carte a 
circuit integre ou bien le serveur securise Ssec, une authentification 
effectuee par ces moyens securises est equivalente a une authentification 
effectue par le logiciel filtre lui-meme. 

Dans la description qui suit, nous decrirons les mecanismes 
d'authentification des moyens logiciels de pilotage des interfaces ou logiciel 
interpreteur 20, 71 par le logiciel filtre. 

Differentes solutions permettent de remplir ces conditions. 

Une premiere solution consiste a chiffrer toutes les donnees 
echangees entre le le logiciel interpreteur 20, 71 et le logiciel filtre. 

Une deuxieme solution consiste a faire proceder a l'authentification 
du logiciel interpreteur 20, 71 par le le logiciel filtre et/ou a etablir un canal 
de communication securise entre ces deux logiciels. 

Ces deux solutions impliquent necessairement qu'au moins un 
parametre secret connu du logiciel filtre F, 62, soit stocke dans le logiciel 
interpreteur 20, 71. 

Selon la deuxieme solution, le logiciel filtre F, 62 authentifie le 
logiciel interpreteur 20, 71, selon un processus conventionnel 
d'authentification, sur la base d'une information transmise par le logiciel 
interpreteur 20, 71, et combinee avec le parametre secret. Au niveau du 
logiciel interpreteur 20, 71, cette procedure d'authentification est mise en 
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ocuvre par le logiciel 72 (figure 8A) ou le logiciel 76 (figure 8B), suivant la 
forme de realisation du module terminal. 

Ce mecanisme d'authentification peut egalement s'appliquer aux 
messages echanges entre les deux logiciels pour construire des codes 
5. d'authentification des messages permcttant de garantir l'origine et 
l'integrite de chaque message transmis. 

Dans le cas du mode d'execution decrit a la Figure 4A V cette solution 
requiert cependant que, de preference, une protection physique de la 
liaison entre les deux microprocesseurs soit assuree pour interdire a un 
10 fraudeur de lire les donnees echangees, et en particulier le code 
d'identification personnel (PIN) de la carte que Tutilisateur peut etre 
amene a introduire via le clavier 5 pour la mise en oeuvre des transactions. 

C) Protection d'un parametre secret par le microcontroleur 
standard 2 

15 La description precedente montre la necessite de stocker au moins 

un parametre secret dans le logiciel interpreteur. Le mode d'execution du 
terminal a partir d'un PC, dans lequel le logiciel interpreteur est execute 
sur le PC lui-meme, offre done de par la securite limitee du PC un degre de 
securite limite bien que suf&sant pour empecher un virus de se substituer 

20 au logiciel interpreteur. Un degre de securite superieur est obtenu en 
implantant le logiciel interpreteur dans la ROM 2c du microcontroleur 
standard 2 Pour ameliorer la securite, le parametre secret du 
microcontroleur 2 pourra etre stocke dans la memoire temporaire, et cela a 
la fabrication du produit ou, cventuellernent, lors de l'insertion du 

25 microprocesseur securise 3 s'il est amovible, ou d'une carte a circuit integre. 
Ccttc operation a pour but d'etablir une confiance entre les deux 
microprocesseurs. Toute precaution utile doit etre prise lors de cette 
operation pour s'assurer de Tauthenticite du microcontroleur 2 (operation 
effectuee en usine, operation protegee par des cles dites de transport elles-. 

30 memes stockees dans la memoire temporaire du microcontroleur 2 en 
usine, et dont la connaissance conditionne Toperation d f initialisation dudit 
parametre secret). En outre des mecanismes conventionnels de detection 
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Le mcme principe peut etre applique a un couple carte/terminal a 
chaque fois qu'une carte a micro-circuit est utilisee avec le module 
terminal. La personnalisation peut consister par exemple en le calcul, au 
moyen du logiciel de traduction, d'un mot de passe base sur une 
5 information secrete contenue dans le microprocesseur securise de la carte 
et d'une ou plusieurs informations secretes contenues dans module 
terminal. Le meme principe que celui decrit ci-dessus peut etre utilise pour 
calculer le mot de passe. Ce mot de passe, genere lors de la premiere 
utilisation du module terminal en conjonction avec la carte et connu de 
10 l'utilisateur, est affiche sur Tecran 4 lors des utilisations subsequentes du 
module terminal avec la carte. L'utilisateur peut ainsi le verifier et avoir 
ainsi l'assurance que le terminal en sa possession, constitue du module 
terminal couple a la carte, est bien authentique. 

F) Authentification de la carte a micro-circuit par le module 
15 terminal 

Pour accroitre encore la securite du systeme de transaction suivant 
Tinvention, un processus conventionnel d'authentification peut etre mis en 
ceuvre afin d'assurer rauthentification par le module terminal 1, 101 de la 
carte a micro-circuit utilisee. Un tel processus d 'authentification permet 

20 notamment d'eviter que le numero d 'identification personnel (PIN) de 
Tutilisateur, que celui-ci introduit dans le module 1, 101 par le clavier 5 
pour executer une transaction securisee, soit capture par une carte falsifiee 
qui aurait ete substitute par un fraudeur a la carte authentique de 
l'utilisateur puis que ce fraudeur recupererait pour lire le PIN sur la carte 

25 falsifiee. L' authentification peut, par exemple, etre effective par un 
mecanisme classique de type defi / reppnse au moyen dun secret partage 
entre la carte et le module terminal en utilisant une cryptographie 
symetrique ou bien, comme cela a deja ete decrit precedemment, au moyen 
d une ele privee stockee par la carte permettant le chiffrement du defi ou 

30 challenge a Taide d'un algorithme asymetrique, le module terminal 
verifiant la reponse a l'aide de sa cle publique. 
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Lecture du system de transact-on ams, cue les rnecumsmes 
de secunsat.cn decrits cdessus Cerent u„e tres grande secunte aux 
transactions effectuees au moyen du module terminal 1, 101. 

Ce module terminal permet: , . s 

. ^ace au clamor 5. a 1'ecran 4 e, a la protects des donnee 
ec h an g Js avec 1'utiHsateu, d.tendre la nature des serves reellement 
secunses que pent fournirune carte a micro-cn-cmt; 

. d'utinser ,a carte dans le context* d'un envr—ent non ™ 
(ordinate, personne, PC susceptive d,tre a«ec. ^ 
, nrogrammes pirates), en l'isolant hermeuquement de cet envir 

p Te a une arclutecture log,cie,le e.ou matenelle qui contrtle S tr,ctem n 
Tales a la carte, .est a dire qui candle les commandos envoyees aux 
fonctionscryptographiquoscontcnues dans la carte. 

Le module terminal pent revetir differentes formes telles Que . 
5 . un leleur de carte a circu* integre, connectaole a un ordmateur v,a 
«s interfaces (PCMCIA...) ou non (connexion a un serveur .a 

modem uniquement) ; ... . nar 

. „„ ordinateur (PC) dont les interfaces utilisa.ur 

recran et le clav.r du PC. et qut comporte un lecteur de car. a c,curt 
,0 integre Ce PC inclura des moyens logics e, / ou maters (tels ,» un 
!0 ira'nncrop— secur.se, — >d J ^1 
construe par le PC) pour assurer ***** et la — £^ 
logl ciel nitre. Par ordinateur on entend un ordinateur de type PC - 
dement un PDA C ™1 D.gnal Assistant ou Assrstant 

25 Numerique Personnel) ; H'affichaee LCD, dans lequel 
. un clavier, oventuellemcnt mum d'un ecran d affichage L, 

lit tntegrc un microprocosseur secunse et une .nterface carte a cn-cu, 

. "none mum —mint ,un affeneu, dans lequel - 
30 mtegre un microprocosseur securise et une interface carte a cncu.t 


integre ; 


JSDOCID <FR 277901 8A1J_> 


2779018 

50 

• un decodeur (set-top box) de reseau cable de TV integrant im lecteur ce 
carte a circuit integre connecte a un poste de television, le postc de 
television, un clavier ou eventuellement la telecornmande associe au 
decodeur ou a la television servant de moyens d'interface avec 

5 l'utilisatcur ; 

• plus generalement tout equipement securisable par l'integxation d'un 
microprocesseur securise dans lequel pourra etre installee une 
application dite sensible, ou par Integration d'une interface carte a 
circuit integre permettant le pilotage dudit equipement par une 

10 application deportee dans une carte a circuit integre. 

L'ensemble de la description precedente decrit un terminal destine a 
etre utilise avec une carte a circuit integre. La carte a laquelle il est fait 
reference est en fait un outil permettant la misc en oeuvre de fonctions 
cryptographiques et personnalise par rapport a un utilisateur au moyen 

15 d'au moins un secret. II est evident que Tobjet de linvention ne se limite 
pas a un outil de fornie donnee tel que celui de la carte a circuit integre. 
L'invention couvre aussi la mise en oeuvre de dispositifs personnels de 
securite pouvant offrir des fonctions equivalent.es a celle d'une carte a 
circuit integre, mais presentes sous une forme differente, tels que les 

20 produits w iButton " Java Ring " ou jeton (" token 
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REVENDICATIONS 

1. Terminal pour la noise en oeuvre, par un utilisateur, de 

transactions electroniques securisees en liaison avec au moins une 

application implantee sur une unite electronique, ledit terminal 

comprenant : 

- un module terminal comportant au moins : 

* des premiers moyens d'interface avec ladite application pour 
en recevoir des requetes relatives auxdites transactions, 

* des deuxiemes moyens d'interface avec ledit utilisateur, 

* des troisiemes moyens d'interface avec un dispositif 

personnel de securite, 

* des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits moyens 
d'interface, et 

- un dispositif personnel de securite comportant au moins des 
deuxiemes moyens de traitement de donnees securises comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 
caracterise en ce que : 

- ledit terminal (1, 31 ; 101, 131) est adapte pour recevoir lesdites 
requetes de ladite application (Fap) implantee sur la dito unite 
electronique (Sap ; PC) sous la forme de requetes de haut niveau 
independantes dudit dispositif personnel de securite, 

- l'un au moins dudit module terminal (1 ; 101) et dudit dispositif 
personnel do securite comprend : 

* au moins une memoire reprogrammable (3d ; 30a ; 102b ; 130a ; 
Ssec) de stockage d'au moins un logiciel filtre (F. (52),. tradmsant lesdites 
requetes de haut niveau en sequences d'echange de donnees entre ledit 
module terminal (1 ; 101) et ledit utilisateur via lesdits seconds moyens 
d'interface (4, 5), executables par lesdits premiers moyens logiciels (I, 20, 
71) desdits premiers moyens de traitement de donnees (2 ; 29 ; 102), et 
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en sequences dc corrimandes elementaires executables par lesdits 
deuxiemes moyens logiciels (80-84) desdits deuxiemes moyens de 
traitement de donnees (30 ; 130), et 

* des moyens de protection dudit logiciel filtre (F, 62), pour 
5 empecher toute lecture et / ou modification dudit logiciel par une 
personne non autorisee, et 

-Tun au moins desdits premiers et deuxiemes moyens de 
traitement de donnees (3 ; 29 , 30 ; 102 ; 130 ; Ssec) comprend un 
dispositif de traitement de donnees pour Texecution dudit logiciel filtre 
10 (F, 62). 

2. Terminal selon la revendication 1, caracterise en ce que ledit 
dispositif d'execution du logiciel filtre comprend des premiers moyens 
^identification et /ou d'authentification de ladite application (Fap) 
implantee dans ladite unite (Sap; PC) ou de Torigine desdites requetes 

15 emises par ladite application. 

3. Terminal selon la revendications 2, caracterise en ce que ledit 
dispositif de traitement de donnees pour Texecution dudit logiciel filtre (F, 
62) comprend des moyens de verification de Tintegrite des donnees regues 
de ladite application (Fap). 

20 4. Terminal selon Tune quelconque des revendications 1 a 3, 

caracterise en ce que ledit dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre (F, 62) comprend des moyens centralises 
(Ssec) de controle des conditions d'utilisation des services du dispositif 
personnel de securite (31) en fonction de ladite application (Fap) et / ou de 

25 l'utilisateur. 

5. Terminal selon Tune quelconque des revendications 1 a 4, 
caracterise en ce que ledit dispositif de traitement de donnees pour 
Texecution dudit logiciel filtre (F, 62) comprend : 

- des moyens pour commander le chargement securise dudit logiciel 

30 filtre dans ladite memoire programmable, via l'un desdits premiers ou 
troisiemes moyens d'interface, a partir d'une entite exterieure audit 
module, et 
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- des premiers moyens do controle d'acces pour n'autorisor lcdit 
chargement dudit logiciel filtre qu'en reponse a au moins une condition 
prede&nie. 

6. Terminal selon l'une quelconque des revendications l a 5, 
5 caracterise en ce qu'il comprend des deuxiemes moyens d'authentification 

desdits premiers moyens de traitement de donnees (2 ; 3 ; 29 ; Ssec) par 
lesdits deuxiemes moyens de traitement de donnees (30 ; 130). 

7. Terminal selon Tune quelconque des revendications 1 a 6, 
caracterise en ce qu'il comprend des troisiemes moyens d'authentification 

10 desdits deuxiemes moyens de traitement de donnees (30 ; 130) par lesdits 
premiers moyens de traitement de donnees (3 ; 29). 

8. Terminal selon l'une quelconque des revendications 6 et 7, 
caracterise en ce qu'il comprend un premier canal de communication (6) 
entre lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 

15 traitement de donnees et des premiers moyens de securisation dudit 
premier canal de communication. 

9. Terminal selon l'une quelconque des revendications 1 a 8, 
caracterise en ce qu'il comprend des quatriemes moyens d'authentification 
dudit module terminal (1 ; 101) par ledit utilisateur, independamment de 

20 ladite carte (31 ; 131). 

10. Terminal selon la revendication 9, caracterise en ce que lesdits 
quatriemes moyens d'authentification comprennent des moyens de calcul, 
par lesdits premiers moyens de traitement de donnees (2 ; 3 ; 29), et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface (4), 

25 d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees (2 ; 3 ; 29). 

11. Terminal selon l'une quelconque des revendications 1 a 10, 
caracterise en ce qu'il comprend des cinq uiemes moyens d'authentification 

30 conjointe dudit module terminal (1 ; 101) et de ladite carte (31 ; 131) par 
ledit utilisateur. 
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12. Terminal selon la revendication 11, caracterise on cc que lesdits 
cinquiemes moyens d'authentification comprennent des moyens de calcul, 
par ledit dispositif d'execution dudit logiciel filtre (3 ; 29 ; 31 ; 131), et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface (4), 

5 d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un deuxieme et un troisieme parametres secrets stockes respectivement 
dans lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 
traitement de donnees. 

13. Terminal scion Tune quelconquc des revendications 1 a 12, 
10 caracterise en ce que ledit module terminal (1) comporte ladite memoire 

programmable (3d) pour le chargement et le stockage dudit logiciel filtre 
(F, 62). ^ 

14. Terminal scion la revendication 13, caracterise cn cc que lesdits 
premiers moyens de traitement de donnees comprennent un premier 

15 microprocesseur (2 ; 102) de pilotage desdits moyens d ! interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71) de pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise en ceuvre desdites sequences 
d'echanges de donnees entre ledit module terminal (1) et ledit utilisateur, 

20 et un deuxieme microprocesseur securise (3) du type pour carte a circuit 
integre dispose dans ledit module terminal et comportant ladite memoire 
programmable (3d), ledit second microprocesseur (3) executant ledit logiciel 
filtre (F, 62) pour le pilotage desdites sequences d'echanges de donnees au 
moyen desdites commandes transmises audit premier microprocesseur (2) 

25 et pour l'application desdites sequences de commandes elementaires 
auxdits deuxiemes moyens de traitement de donnees. 

15. Terminal selon la revendication 14, caracterise en ce que lesdits 
premiers moyens logiciels (20, 71) de pilotage des moyens d f interface 
comportent au moins un quatrieme parametre secret, ledit deuxieme 

30 microprocesseur (3) etant commande par ledit logiciel filtre (F, 62) pour 
authentifier lesdits premiers moyens logiciels (20, 71) de pilotage des 
moyens d'interface sur la base d'une information transmise par ledit 
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premier microprocesseur (2) et combinee au moins avec ledit quatrieme 

parametre secret. 

16. Terminal selon la revendication 15, caracterise en ce qu'il 
comprend un deuxieme canal de communication (12) entre lesdits premiers 
moyens logiciels (20, 71) de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur (3) et des deuxiemes moyens de securisation 
dudit deuxieme canal de communication. 

17. Terminal selon la revendication 16, caracterise en ce que lesdits 
deuxiemes moyens de securisation comprennent des moyens de chiffrement 
et dechiffrement, par lesdits premiers moyens logiciels (20, 71) de pilotage, 
des moyens d'interface et ledit deuxieme microprocesseur (3), des donnees 
transmises sur ledit deuxieme canal de communication (12), sur la base 
d'au moins un cinquieme parametre secret memorise dans lesdits moyens 
de stockage (2b, 3d). 

18. Terminal selon Tune quelconque des revendications 16 et 17, 
caracterise en ce que lesdits deuxiemes moyens de securisation 
comprennent des premiers moyens physiques de protection dudit deuxieme 
canal de communication (12) contre les intrusions. 

19. Terminal selon l'une quelconque des revendications 15 a 18, 
caracterise en ce que ledit premier microprocesseur (2) comporte une 
memoire temporaire (2b) pour le stockage dudit parametre secret et des 
deuxiemes moyens physiques de protection de ladite memoire temporaire 

(2b) contre les intrusions. 

20. Terminal selon Tune quelconque des revendications 14 a 19, 
caracterise en ce que ledit deuxieme microprocesseur (2) est un 
microcontroleur. 

21. Terminal selon la revendication 13, caracterise en ce que lesdits 
premiers moyens de traitement de donnees comprennent ledit dispositif 
d'execution du logiciel filtre et sont constitues par un microprocesseur 

securise (29) adapte pour : 

* executer ledit logiciel filtre (F, 62) de traduction des requetes de 

haut niveau, 
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* transformer ces requetes de haut niveau en sequences d'echanges 
de donnees avec Tutilisateur et en sequences de commandes 
elementaires executables par lesdits deuxiemes rnoyens logiciels 
desdits deuxiemes moyens de traitement de donnees (31), 
5 * piloter lesdits moyens d'interface (4-9) grace aux commandes 

generees par ledit logiciel filtre, pour la mise en ceuvre desdites 
sequences d'echanges entre ledit module terminal (1) et ledit 
utilisateur. 

22. Terminal selon la revendication 21, caracterise en ce que ledit 
10 microprocesseur (29) comporte ladite memoire programmable. 

23. Terminal selon la revendication 21, caracterise en ce que ladite 
memoire programmable est externe audit microprocesseur (29). 

24. Terminal selon la revendication 23, caracterise en cc que ledit 
logiciel filtre (F, 62) est stocke sous forme chiffree dans ladite memoire 

15 programmable et en ce que ledit microprocesseur (29) comprend des 
moyens pour lire, dechiffrer et executer ledit logiciel filtre. 

25. Terminal selon Tune quelconque des revendications 14 a 24, 
caracterise en ce que lesdits deuxiemes moyens de traitement de donnees 
dudit dispositif personnel de securite (31) comprennent egralement un 

20 dispositif (30) d'execution securisee d'un logiciel filtre et une memoire 
programmable (30a) pour le chargement et le stockage dudit logiciel filtre 
(62), lesdits premiers moyens logiciels desdits premiers moyens de 
traitement de donnees etant adaptes pour recevoir lesdites commandes 
pour la mise en oeuvre desdites sequences d'echange do donnees 

25 indifferemment de l'un ou Tautre desdits dispositifs (3 ; 29 ; 31) d'execution 
de logiciel filtre implantes dans ledit module et ledit dispositif personnel de 
securite respectivement. 

26. Terminal selon l'une quelconque des revendications 13 a 25, 
caracterise en ce que : 

30 - ledit logiciel filtre (F, 62) comprend au moins un parametre secret, 

- lesdits deuxiemes moyens de traitement (30) de donnees 
comprennent des seconds moyens de controle d'acces conditionnels pour 
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n'autoriser l'execution desdits calculs cryptographiques, en reponsc a dcs 
commandes elementaires generees par ledit logiciel filtre (F, 62), que si au 
moins une seconde condition predefine, fonction dudit parametre secret est 
remplie. 

5 27. Terminal selon l'une quelconque des revendications 1 a 12, 

caracterise en ce que ledit dispositif personnel de securite (131) comporte 
ladite memoire programmable (130a) pour le chargement et le stockage 

dudit logiciel filtre (F, 62). 

28. Terminal selon la revendication 27, caracterise en ce que lesdits 

10 premiers moyens de traitement de donnees comprennent un premier 
microprocesseur (2 ; 102) de pilotage desdits moyens d'interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71)) du pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise en ceuvre desdits sequences 

15 d'echanges de donnees entre ledit module terminal (1) et ledit utilisateur, 
et lesdits deuxiemes moyens de traitement de donnees comprennent un 
deuxieme microprocesseur securise (130) du type pour carte a circuit 
integre dispose dans ledit dispositif personnel de securite (131) et 
comportant ladite memoire programmable (130a), ledit second 

20 microprocesseur (130) executant ledit logiciel filtre (F, 62) pour le pilotage 
desdites sequences d'echanges de donnees au moyen de commandes 
transmits audit premier microprocesseur (2 ; 102), ainsi que lesdites 
commandes elementaires. 

29. Terminal selon les revendications 6 et 28, caracterise en ce que 
25 lesdits premiers moyens. logiciels (20, 71) de pilotage desdits moyens 

d'interface comportent au moins un parametre secret et ledit second 
microprocesseur (130) de ladite carte (131) est commande par ledit logiciel 
de traduction (62) pour authentmer ledit premier microprocesseur (2) sur 
la base d'une information transmise par ledit premier microprocesseur (2) 
30 et combinee au moins avec ledit parametre secret. 

30. Terminal selon l'une quelconque des revendications 28 et 29, 
caracterise en ce que ledit deuxieme microprocesseur (130) dudit dispositif 
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personnel de securite (131) est adapte pour commander le chargement 
dudit logiciel filtre (F, 62) dans ladite memoire programmable (130a) via 
lesdits premiers moyens d'interface (7-9) et lesdits troisiemes moyens (6) 
d'interface avec ledit dispositif personnel de securite (131). 
5 31. Terminal selon Tune quelconque des revendicatioris 13 a 30, 

caracterise en ce que ledit module terminal (1 ; 101) est constitue par un 
lecteur de carte a circuit integre et ledit dispositif personnel de securite est 
une carte a circuit integre (31 ; 131). 

32. Terminal selon la revindication 13, caracterise en ce que ledit 
10 module terminal (1) comprend un ordinateur personnel (102) et en ce que 

ladite memoire reprogrammable est constitute par le disque dur (102b) 
dudit ordinateur. 

33. Terminal selon la revendication 32 et Tune quelconque des 
revendications 14 a 17, caracterise en ce que ledit premier microprocesseur 

15 est constitue par le microprocesseur (102c) dudit ordinateur personnel 
(102), ledit ordinateur personnel (102) etant en outre interface audit 
microprocesseur securise (3). 

34. Terminal selon la revendication 32, caracterise en ce que ledit 
logiciel filtre (F) comprend un premier module de 

20 chargement/dechififrement (Fed) et un deuxieme module chiffre (Fchi) pour 
ladite traduction des requetes de haut niveau, ledit premier module (Fed) 
commandant le chargement dudit deuxieme module (Fchi) en memoire 
RAM dudit ordinate ur (102) et son dechiffrement pour l'execution dudit 
logiciel filtre par ledit ordinateur. 

25 35. Terminal selon la revendication 32, caracterise en ce que ledit 

logiciel filtre (F) comprend au moins un premier module (F-PC) implante 
sur ledit ordinateur personnel (102) et au moins un deuxieme module (F- 
SE) implante sur un serveur de securite (Ssec), ledit ordinateur personnel 
(102) et ledit serveur de securite (Ssec) etant connectes par un canal de 

30 communication securise (CS) permettant un echange de donnees protege 
entre lesdits modules. 
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36. Terminal scion Tunc quelconque des revendications 32 a 35, 
caracterise en ce que ledit dispositif personnel de securite (31) est une carte 
a circuit integre. 

37. Systeme pour la mise en ceuvre de transactions securisee, 
5 caracterise en ce qu'il comprend au moins un terminal (1, 31 ; 101, 131) 

selon l'une quelconque des revendications 1 a 36, et au moins une unite 
electronique (Sap ; PC) comportant des moyens pour transmettre lesdites 
requetes de haut niveau audit terminal (1, 31 ; 101, 131). 

38. Systeme selon la revendication 37, caracterise en ce qu'il 
10 comprend une pluralite de terminaux (1, 31 ; 101, 131), au moins un 

serveur (S) constituant ladite unite electronique, et des moyens (CR) de 
transmission de donnees numeriques entre ledit serveur (S) et lesdits 
terminaux. 
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